首页 > 系统相关 >【VMware vCenter】vCenter Server 各版本证书有效期及过期解决办法。

【VMware vCenter】vCenter Server 各版本证书有效期及过期解决办法。

时间:2024-09-14 15:28:41浏览次数:10  
标签:10 vSphere 证书 Server vCenter VMware KB

这篇(VMware vCenter Server(VCSA) 5.5 版本证书过期问题处理过程。)文章阐述了有关 vCenter Server 证书过期的处理过程,整个过程相对来说比较复杂并且有的地方可能也没有说清楚,因此我想在此篇文章中重新做一个针对 vCenter Server 证书相关的汇总,以方便有需要的朋友进行查阅和参考。当然,不是说这篇文章会把这个事情讲清楚,肯定没法一次性说清楚并且也不一定完全正确,所以,有关更多内容和细节建议还是请查看 VMware 官方产品文档《vSphere Authentication》

 

一、vCenter Server 所使用的证书类型

vCenter Server 中使用了各种各样的证书来确保相关组件服务能够互相验证以及加密通信,默认情况下,vSphere 使用 VMware Certificate Authority (VMCA) 证书颁发机构置备 vCenter Server 的相关证书,并且这些证书存储在 VMware Endpoint Certificate Store (VECS)端点证书存储中。虽然 vCenter Server 支持使用自签名证书来替换 vSphere 证书管理模式中由 VMCA 置备的证书,比如计算机 SSL 证书,但是这样会大大增加 vSphere 证书管理的复杂度,因为必须人工安装和管理这些证书,除非企业内部有严格的证书管理要求,否则使用 VMCA 就已经足够安全和值得信赖了。

vCenter Server 证书类型 置备方式 VECS 证书库 备注
根证书 VMCA TRUSTED_ROOTS 包含所有受信任的根证书。
计算机 SSL 证书 VMCA MACHINE_SSL_CERT 计算机 SSL 证书用于计算机的安全 SSL 连接。
解决方案用户证书 VMCA

machine

vpxd

vpxd-extension

vsphere-webclient

wcp

Machine 解决方案用户证书用于进行 SAML 令牌交换,与计算机 SSL 证书没有任何关系。
其他证书

VMCA

SMS

BACK_STORE

......

vSphere Certificate Manager 实用程序的备份库 (BACKUP_STORE)。
内部证书 VMCA STS (*)

Security Token Service (STS) 是一项发布、验证和续订安全令牌的 Web 服务。

注*:作为令牌颁发者,Security Token Service (STS) 使用私钥对令牌进行签名,并发布公用证书供服务验证令牌签名。vCenter Server 管理 STS 签名证书并将其存储在 VMware Directory Service (vmdir) 中。

 

二、vCenter Server 各版本证书有效期

当 vCenter Server 初始安装过后,这些证书已经默认由 VMCA 置备到系统当中,并且不同类型的证书具有不同的有效期,如下表所示(来源于 SS-Engineer)。我们在使用 vCenter Server 时,最好将这些证书的监控管理加入到运维工作当中,如果在证书过期前没有得到处理, vCenter Server 相关服务可能会出现故障。

vCenter Server 版本 根证书 计算机 SSL 证书 解决方案用户证书 STS 证书
6.5 10 年 10 年 10 年 10 年
6.5 U1 10 年 10 年 10 年 10 年
6.5 U2 10 年 2 年 2 年 2 年
6.5 U3 10 年 2 年 2 年 2 年
6.7 10 年 10 年 10 年 10 年
6.7 U1 10 年 10 年 10 年 10 年
6.7 U2 10 年 10 年 10 年 10 年
6.7 U3F及更低 10 年 10 年 10 年 10 年
6.7 U3G及更高 10 年 2 年 2 年 10 年
7.0 10 年 2 年 10 年(*) 10 年
7.0 U1 10 年 2 年 10 年(*) 10 年
7.0 U2 10 年 2 年 10 年(*) 10 年
7.0 U3 10 年 2 年 10 年 10 年
8.0 10 年 2 年 10 年 10 年
8.0 U1 10 年 2 年 10 年 10 年
8.0 U2 10 年 2 年 10 年 10 年
8.0 U3 10 年 2 年 10 年 10 年

注*:从 vCenter Server 7.0 开始,WCP 证书已经添加至解决方案用户证书当中,并且在 7.0、7.0 U1 以及 7.0 U2 版本中,WCP 证书的有效期为 2 年,而从 7.0 U3 版本开始,WCP 证书的有效期为 10 年。如果从 7.0、7.0 U1 以及 7.0 U2 版本升级到 7.0 U3 及之后的版本,WCP 证书的有效期自动延长至 10 年。除此证书之外,如果 vCenter Server 从当前版本升级到更新的版本,升级后的版本依然会继承之前旧版本的证书到期日期,这一点需要特别注意。

 

三、vCenter Server 证书过期解决办法

如何监控和管理 vCenter Server 的各种证书,确实是一件麻烦并且令人困惑的事情。当证书快要过期时,有的证书会提前在 vSphere Client 告警,但是有的证书却又不会,比如 STS 证书(早期 vSphere 版本)。有的证书可以通过 vSphere Client 查看其状态并管理更新,而有的证书又只能通过 CLI 命令行查看状态和管理更新。这个确实没有什么比较好的办法,可以完美的同时解决 vCenter Server 所有证书的统一监控管理,因此,下面为大家收集归纳了相关链接,希望能够帮助并解决 vCenter Server 证书过期问题。

在执行证书替换或更新操作时,可能需要停止和启动 vCenter Server 相关服务,参考以下链接了解如何管理 vCenter Server 相关服务;也许还会用到相关链接中的脚本文件,如果将文件上传至 vCenter Server 遇到问题,以下链接也许可以帮助到你。

由于证书过期问题,vCenter Server 服务会变得不可用,无法登录 vSphere Client 查看运行状态,以下链接可以帮助你如何通过命令行查看 vCenter Server 证书的状态,并确定是否由证书过期而导致的服务不可用。

如果检查确定有证书出现过期,以下链接可以帮助你解决 vCenter Server 证书过期问题,比如使用 vSphere Certificate Manager 实用程序和 Python 脚本来统一更新 vCenter Server 过期证书。

除了上面链接中的方法可以统一管理 vCenter Server 证书以外,也可以参考下面的链接对 vCenter Server 中的某类证书单独进行管理,但还是建议最好将这些链接综合查阅后再执行更新或替换操作。

1)根证书

2)计算机 SSL 证书

3)解决方案用户证书

4)STS 证书

5)SMS 证书

6)data-encipherment 数据加密证书

7)BACUP_STORES 备份证书

注意,当你在处理 vCenter Server 证书过期问题时,不能仅考虑过期证书的更新或替换,因为实际环境中可能还部署了其他解决方案(如NSX、SRM等)或第三方解决方案,如果没有进行综合的判断而执行了上述操作,可能会导致业务的中断甚至数据的丢失。

标签:10,vSphere,证书,Server,vCenter,VMware,KB
From: https://www.cnblogs.com/juniormu/p/18401400

相关文章

  • chfsgui局域网共享局域网http服务 Cute HTTp File Server软件
    CuteHTTpFileServerhttps://wwaz.lanzouv.com/iGHIj29srj0b密码:eaq3......
  • GIS进阶-Openlayers、Vue+Openlayers、Leaflet、Geoserver、PostGis、Java集成Geotool
    场景作为一名非专业GIS开发者,在日常企业级开发中遇到GIS领域相关业务需求时,参考资料较少,各种体系生态不明确。往往因为错过了好多大神封装好的工具、借口、三方框架、api等白白浪费时间。最主要的是此专栏会持续更新,毕竟GIS的知识体系远不止如此,后续会持续记录、共同积累、共同......
  • VMware NSX Advanced Load Balancer (NSX ALB) 22.1.7 发布下载,新增功能概览
    VMwareNSXAdvancedLoadBalancer(NSXALB)22.1.7-多云负载均衡平台应用交付:多云负载均衡、Web应用防火墙和容器Ingress服务请访问原文链接:https://sysin.org/blog/vmware-nsx-alb-22/,查看最新版。原创作品,转载请保留出处。作者主页:sysin.org负载均衡平台NSXAdvan......
  • T-SQL——转载:SQL Server 存储过程中处理多个查询条件的几种常见写法分析,我们该用那种
    本文出处:http://www.cnblogs.com/wy123/p/5958047.html原文中的图片并没有转载,具体查看原文目录0.背景说明1.测试数据2.第一种常见的写法:拼凑字符串,用EXEC的方式执行这个拼凑出来的字符串,不推荐3.第二种常见的写法:对所有查询条件用OR的方式加在where条件中,非常不推荐4.......
  • SQLServer与OLAP:舞动数据的魔法秘籍
    ......
  • SQL server 语句 日期格式查找
    1.SQLServer中,处理日期格式和查找特定日期格式方法示例在SQLServer中,处理日期格式和查找特定日期格式的记录是一个常见的需求。SQLServer提供了多种函数和格式选项来处理和比较日期。以下是一个详细的示例,展示了如何根据特定日期格式查找记录。1.1场景描述假设我们有一个名......
  • Java Server Page动态包含与重定向
    一、动态包含需求:我希望能够在我的页面中包含一个音频分析:在页面被请求的时候动态地包含另一个JSP页面或者静态资源(如HTML页面、图片等)的内容。假设我已经有一个名为audio.jsp的页面。当服务器处理包含<jsp:includepage="audio.jsp"/>的JSP页面时,它会将audio.jsp页面的......
  • SQL Server 语句日期格式查找方法
    1.SQLServer中,处理日期格式和查找特定日期格式方法示例在SQLServer中,处理日期格式和查找特定日期格式的记录是一个常见的需求。SQLServer提供了多种函数和格式选项来处理和比较日期。以下是一个详细的示例,展示了如何根据特定日期格式查找记录。1.1场景描述假设我们有一个......
  • MutationObserver监听DOM变化示例
    示例代码:<template><divclass="it-bottom-button":style="{right:bottomBarRight}"><slot></slot></div></template><script>exportdefault{name:"itBottomBar",componen......
  • 对 Windows Server 2016 进行优化时,可以考虑以下条目:这些步骤可以帮助提高 Windows Se
    对WindowsServer2016进行优化时,可以考虑以下条目:关闭不必要的服务:服务管理:通过“服务”管理工具(services.msc),禁用或设置为手动启动以下服务(根据实际需要):PrintSpooler(如果不使用打印功能)WindowsSearch(如果不需要文件索引)RemoteRegistryBluetoothSupportService(......