保姆级教程：VMware VCSA 6.7证书续订全流程，从Web界面到STS证书命令行更新

VMware VCSA 6.7证书管理全指南：从基础续订到STS证书深度处理

当虚拟化平台的核心组件突然弹出证书过期警告时，那种心跳漏拍的感觉每位运维工程师都深有体会。特别是在全虚拟化环境中，VCSA（vCenter Server Appliance）作为管理中枢，其证书状态直接关系到整个平台的可用性。不同于普通应用的证书更新，VCSA的证书体系具有其特殊性——尤其是6.7版本中独有的STS证书机制，这使得常规的Web界面操作只能解决部分问题。本文将系统性地拆解证书管理的全生命周期，不仅涵盖5480管理界面的标准操作流程，更将深入6.7版本特有的STS证书更新技术细节，帮助您建立完整的证书维护知识体系。

1. 证书过期前的预防性维护策略

证书过期从来都不应该是突发事件。合理的预防性维护能避免90%的紧急状况。对于VCSA 6.7环境，建议建立以下维护机制：

证书生命周期监控应当成为日常运维的固定项目。VCSA内置的证书有效期显示位于"管理→证书"标签页，但被动查看远不够高效。我们可以通过以下方式建立主动监控：

# 通过SSH连接到VCSA后，检查证书有效期的快捷命令 openssl x509 -in /etc/vmware-vpx/ssl/rui.crt -noout -dates

输出结果会明确显示证书的起止时间。建议将此检查纳入每月例行维护清单，并在证书到期前60天设置双重提醒——既在日历系统中标记，也在监控平台配置告警。

时间同步配置是证书验证的关键因素。许多证书问题实质是时间不同步导致的伪过期。VCSA的时间配置需要注意三个层面：

当发现证书即将过期时，标准的续订流程应当通过5480管理界面完成。这个基于HTTPS的专用管理端口（默认5480）提供了最安全的证书操作环境。登录后导航至"管理→证书"页面，系统会清晰展示当前证书状态和有效期限。续订操作本质上是通过内置的Certificate Manager工具生成新的密钥对并提交签名请求。

重要提示：续订操作前务必确认备份状态。虽然证书更新通常不会影响现有配置，但关键操作前的备份是铁律。使用VCSA内置的备份功能或通过命令行/usr/lib/vmware-vmware-vmon/vmon-cli --backup创建完整快照。

2. 5480管理界面标准续订流程详解

当证书尚未过期时，通过Web界面续订是最规范的操作路径。以下是经过验证的标准操作流程：

1. 登录管理界面：使用浏览器访问https://<VCSA_IP>:5480，输入管理员凭据。注意地址中的端口号必须明确指定，不同于常规的443管理端口。

2. 导航至证书管理：在左侧菜单选择"管理"，然后切换到"证书"标签页。这里会显示当前所有证书的状态概览，包括：

   • Machine SSL证书
   • Solution User证书
   • VMware Directory证书
   • STS签名证书（6.7版本特殊项）

3. 启动续订向导：点击"续订证书"按钮，系统将启动多步骤向导。现代版本的VCSA已经简化了这一过程，但6.7版本仍需要逐步确认：

   • 第一步验证管理员权限
   • 第二步选择需要续订的证书范围（全选推荐）
   • 第三步确认证书有效期延长（默认两年）

4. 执行续订操作：确认无误后点击"完成"，系统将自动执行以下操作序列：

   # 后台实际执行的流程示例 /usr/lib/vmware-vmca/bin/certificate-manager /usr/lib/vmware-vmon/vmon-cli --restart vmware-vpxd

5. 验证新证书：操作完成后，返回证书页面检查新的有效期。同时建议进行功能性验证：

   • 登录vSphere Web Client确认无警告提示
   • 检查各插件功能（如vSAN监控）是否正常
   • 验证API接口调用是否成功

常见问题处理环节不容忽视。即使按照标准流程操作，仍可能遇到一些典型情况：

• 续订按钮灰色不可用：通常表示当前证书状态异常或服务未正常运行。尝试重启vCenter服务：

  service-control --stop --all && service-control --start --all

• 部分证书续订失败：可能是依赖服务未启动。检查VMware Certificate Authority服务状态：

  /usr/lib/vmware-vmon/vmon-cli --status vmware-vca

• Web界面访问异常：证书更新后浏览器可能缓存旧证书。强制刷新缓存（Ctrl+F5）或尝试隐私模式访问。

3. 应急处理：证书已过期场景的恢复方案

当发现证书已经过期时，标准续订流程可能无法直接使用。此时需要采用特殊恢复步骤，但务必注意这些操作会暂时降低系统安全性：

系统时间调整是一种应急手段，但必须谨慎操作。将系统时间回拨到证书有效期内只是临时解决方案，目的是获得操作窗口完成正规续订。具体步骤：

1. 禁用时间同步服务：

   timedatectl set-ntp 0

2. 设置临时日期（示例回拨到过期前）：

   date -s "2023-01-01 00:00:00" hwclock --systohc

3. 重启关键服务使设置生效：

   service-control --restart vmware-vpxd

4. 立即执行标准续订流程（参见第2章节）

5. 完成后续操作：

   • 恢复正确时间：date -s "now"
   • 重新启用NTP同步：timatectl set-ntp 1
   • 全面重启服务：service-control --restart --all

关键警告：时间调整操作必须在维护窗口进行，且必须确保期间没有备份、监控或其他时间敏感型任务运行。VSAN环境特别需要注意，错误的时间设置可能导致数据一致性问题。

证书强制替换是另一种备选方案，但技术要求更高。这种方法需要手动生成证书并替换系统原有文件：

1. 准备新证书和密钥：

   openssl req -newkey rsa:2048 -nodes -keyout new.key -out new.csr

2. 将CSR提交给CA签名获取新证书

3. 替换系统证书文件：

   cp new.crt /etc/vmware-vpx/ssl/rui.crt cp new.key /etc/vmware-vpx/ssl/rui.key

4. 重启服务加载新证书：

   service-control --restart vmware-vpxd

这种方法虽然直接，但可能破坏证书链完整性，仅建议在万不得已时使用，且后续应尽快通过正规流程更新全部证书链。

4. 6.7版本特有：STS证书深度处理技术

VCSA 6.7版本引入的STS（Secure Token Service）证书是一个常被忽视但至关重要的组件。不同于其他证书，STS证书有独立的更新机制，这也是许多工程师在完成标准续订后仍遇到问题的根本原因。

STS证书的特殊性体现在多个方面：

• 不随常规证书自动续订
• 影响SSO（Single Sign-On）功能
• 过期症状包括：
  • 无法登录vSphere Client
  • 出现"无效安全令牌"错误
  • API调用返回403错误

VMware官方为此提供了专用修复脚本fixsts.sh，获取途径为知识库文章KB76719。下载时需注意版本匹配，错误的脚本版本可能导致更严重问题。脚本的核心功能包括：

1. 备份当前STS配置
2. 生成新的密钥对
3. 更新所有相关服务的配置
4. 重启依赖服务

脚本执行全流程需要严格遵循以下步骤：

1. 准备环境：

   chsh -s /bin/bash # 确保完整的shell环境 mkdir -p /tmp/sts_backup

2. 上传脚本并设置权限：

   chmod +x /tmp/fixsts.sh

3. 执行修复：

   cd /tmp ./fixsts.sh

   执行过程中会提示输入：

   • SSO管理员密码
   • 新证书的有效期（默认两年）
   • 确认信息

4. 验证结果：

   /usr/lib/vmware-sts/bin/vecs-cli entry list --store STS_INTERNAL_SSL_CERT

VSAN环境特别注意事项：在VSAN集群中，STS证书问题可能表现为vSAN性能服务异常。修复STS证书后，还需要额外步骤：

1. 重启vSAN监控服务：

   service-control --restart vmware-vsan-health

2. 重建服务证书：

   /usr/lib/vmware-vmdir/bin/vecs-cli entry create --store MACHINE_SSL_CERT \ --alias __MACHINE_CERT --cert /etc/vmware-vpx/ssl/rui.crt \ --key /etc/vmware-vpx/ssl/rui.key

3. 刷新服务配置：

   /usr/lib/vmware-vmdir/bin/dir-cli service-refresh --login Administrator

对于更复杂的环境，可能需要清理残余的证书缓存。以下命令序列可以彻底刷新证书状态：

# 停止所有服务 service-control --stop --all # 清理旧证书缓存 rm -rf /var/lib/vmware/vmcam/ssl/* rm -rf /var/lib/vmware/vpxd/ssl/* # 重新生成证书 /usr/lib/vmware-vmca/bin/certificate-manager # 重启服务 service-control --start --all

证书管理不是一次性任务，而是持续的生命周期过程。在完成所有更新操作后，建议建立定期检查机制，将VCSA证书状态纳入整体监控体系。一个专业的做法是创建自定义监控项，定期检查证书有效期并提前预警。以下是一个简单的检查脚本示例：

#!/bin/bash # 检查所有关键证书的有效期 CERT_PATHS=( "/etc/vmware-vpx/ssl/rui.crt" "/etc/vmware-sso/keys/ssoserverSign.crt" "/usr/lib/vmware-sts/conf/saml.crt" ) for cert in "${CERT_PATHS[@]}"; do if [ -f "$cert" ]; then echo "检查证书: $cert" openssl x509 -in "$cert" -noout -dates expiry=$(openssl x509 -in "$cert" -noout -enddate | cut -d= -f2) expiry_epoch=$(date -d "$expiry" +%s) now_epoch=$(date +%s) days_left=$(( (expiry_epoch - now_epoch) / 86400 )) echo "剩余有效期: $days_left 天" if [ "$days_left" -lt 30 ]; then echo "警告: 证书即将过期！" fi else echo "未找到证书: $cert" fi done

将这个脚本设置为每月运行，可以有效避免证书过期带来的突发问题。记住，在虚拟化环境中，预防性维护的价值远高于应急处理——特别是对于VCSA这样的核心组件。