SSL сертификаты имеют свой срок действия. В vCenter сертификаты приходится иногда обновлять, обычно каждые два года. Сертификат обновляется с помощью утилиты certificate-manager путём сброса сертификатов на самоподписанные, после чего можно накатить и корпоративные сертификаты.
vCenter 7 — устанавливаю свой сертификат
/usr/lib/vmware-vmca/bin/certificate-manager
Пункт 8 (Reset all Certificates) используется для сброса сертификатов. Скрипт сгенерирует для всех сервисов самоподписанные сертификаты. Останется перезагрузить vCenter.
Ещё нужно продлять STS сертификаты:
vCenter — продлеваем STS сертификаты
А если не помогает?
Но иногда процедура останавливается из-за непонятных ошибок, которые мешают сбросу сертификатов. Типа таких:
vCenter — ошибка Error certificate-manager 'lstool get' failed:1
В редких случаях не помогает ничего, не сбрасываются сертификаты и всё тут. В этом случае может помочь маленькая хитрость — сдвиг во времени.
Заходим в SSH консоль vCenter под пользователем root, запускаем оболочку:
shellКомандой date меняем дату на ту, когда сертификаты ещё были действительны:
date -s "2025-02-22 00:12:30"или
date --set="-2 weeks"
Иногда бывает трудно понять когда истекли сертификаты. Можно глянуть в браузере сам сертификат. Можно воспользоваться командой:
for store in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list | grep -v TRUSTED_ROOT_CRLS); do echo "[*] Store :" $store; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $store --text | grep -ie "Alias" -ie "Not After";done;
vCenter вернулся в прошлое.
Да, здесь может всплыть NTP и снова изменить дату. Разберётесь с этой маленькой проблемой. У меня NTP был отключен.
Сбрасываем сертификаты через certificate-manager. Перезапускаем службы, чтобы убедиться что всё работает нормально.
service-control --stop --all && service-control --start --allМеняем дату на нормальную. Снова перезапускаем службы. На этом всё.
