В vCenter 6.x / 7.x / 8.x есть проблема с истечением срока действия STS сертификатов. Сертификат используется для выпуска SAML-токенов, от него зависит аутентификация всех сервисов внутри vCenter. Если сертификат истекает, перестаёт работать всё.
Раньше сертификат генерировался на 10 лет, этого хватало. 1 марта 2018 г. CA/Browser Forum, отраслевая организация, состоящая из центров сертификации (CA), веб-браузеров и операционных систем, приняла бюллетень 193, чтобы сократить максимальный срок действия сертификатов SSL/TLS до двух лет (825 дней, если быть точным). Все организации бросились исполнять, включая VMware, и заменять сроки действия сертификатов везде где только можно. И где нельзя. В результате, в vCenter сертификат STS тоже стал жить два года, хотя он самоподписанный. Изначально механизм замены этого сертификата не был предусмотрен.
Когда сертификат истекает, получаем ошибку "Signing certificate is not valid" в VCSA 6.5, 6.7, 7.0 и даже в 8.0.
Вывод простой, за сроком действия STS сертификатов нужно следить.
В GUI
Если STS сертификат ещё не истёк, то посмотреть его можно в версии Flash.
Запускаем Flash Player после окончания поддержки
Administration → Single Sign-On → Configuration → Certificates → STS Signing.
В shell
Заходим в SSH консоль vCenter под пользователем root, запускаем оболочку:
shellНам понадобится скрипт на Python под названием checksts.py из KB:
https://kb.vmware.com/s/article/79248
Добавил его в Сборку для VMware.
Запуск в Windows:
"%VMWARE_PYTHON_BIN%" checksts.pyЗапуск в shell:
python checksts.py
Можем увидеть предупреждение:
WARNING!
You have expired STS certificates. Please follow the KB corresponding to your OS:
В этом случае пришла пора менять STS сертификаты.
