vcenter6.7 运行身份验证错误,返回登录屏幕 STS证书到期
环境:vmware6.7,windows版vcenter
问题描述:今天在web端打开vcenter管理页面,用户名密码确认没有出错的前提下,一直提示“请返回登录屏幕”,重启vcenter之后,web页面直接报503.
排查过程:在网上找了一下,提示可能是sts证书到期了。查看日志 vpxd-svcs.log(默认路径在C:\ProgramData\VMware\VMware VirtualCenter\Logs\vpxd-svcs/,ProgramData默认是个隐藏文件夹,需要在文件夹选项打开显示隐藏功能),有相关报错
ERROR com.vmware.vim.sso.client.impl.SecurityTokenServiceImpl$RequestResponseProcessor o pId=] Server rejected the provided time range. Cause:ns0:InvalidTimeRange: The token authority rejected an issue request for
在以下情况下,STS 签名证书的预期生命周期约为 2 年。
注意:
- 并非所有 6.5 U2 或更高版本,仅限 6.5 版产品线上的 6.5 U2 或更高版本。
- 从 U2 或更高版本(仅限 6.5 产品线)开始,全新安装 PSC/vCenter Server 6.5。
- 全新安装 PSC/vCenter Server 6.5 U2 或任何更高的 6.5 版本,并升级到更高版本(包括 6.7 和 7.0)。
- 安装 PSC 或 vCenter Server 后,使用 certool 替换了 STS 签名证书。
- STS 签名证书替换为了自定义证书(内部/外部 CA 签名证书)。
- 我的这个集群是之前全新安装的6.7,到昨天刚好就2年了。
解决方案:
官方给出的解决方案是下载相关的脚本进行修复。
脚本地址: A)fixsts.sh: wget https://kb.vmware.com/sfc/servlet.shepherd/version/download/068f400000JAn50AAD2 B) wget https://kb.vmware.com/sfc/servlet.shepherd/version/download/068f400000HW9InAAL9 运行脚本的风险:这个脚本将影响VMDIR数据库,且只能一个SSo域内运行一次,在运行脚本之前,务必对vCenter Server和PSC Server 做离线快照;执行有问题后恢复快照,重新执行。 1)下载 "fixsts.sh"后,上传到vCenter/PSC Server上的临时目录/tmp下,赋予执行权限: chmod +x fixsts.sh && ./fixsts.sh 2)脚本执行完成后,在vc和PSC上重启所有服务: service-control --stop --all 3)重启vCenter/PSC Server 4)验证: for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep “Alias|Not After”; done
但脚本地址一直下载失败,去官网也找不到相关的脚本,并且我的vcenter是windows版本的,脚本看着也不一定好使。
最后还是决定重建vcenter。剩下的就简单了,安装sql server数据库(内嵌数据库官方说法是支持的集群主机有限,具体也没有尝试过),配置数据库(odbc)。安装vcenter软件,导入license。添加esxi主机到集群当中。创建流程可以参考网上的一些说明。至此,vcenter创建完成。
后续:之后重新搭建了测试环境,针对windows版本的vcenter也有相关的脚本,开始的时候没有找对地方。在官网右侧边栏点击下载。
感谢&参考:https://blog.csdn.net/ximenjianxue/article/details/108329281
https://blog.csdn.net/weixin_38623994/article/details/107168402?utm_medium=distribute.pc_relevant.none-task-blog-2~default~baidujs_baidulandingword~default-3-107168402-blog-119796891&spm=1001.2101.3001.4242.2&utm_relevant_index=6
https://blog.51cto.com/u_14867519/4002570