【VMware vCenter】vCenter Server 各版本证书有用期及过期解决办法。 ...

罪恶克星  金牌会员 | 2024-9-14 15:00:35 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 757|帖子 757|积分 2271

这篇(VMware vCenter Server(VCSA) 5.5 版本证书过期问题处理过程。)文章论述了有关 vCenter Server 证书过期的处理过程,整个过程相对来说比力复杂并且有的地方可能也没有说清楚,因此我想在此篇文章中重新做一个针对 vCenter Server 证书相干的汇总,以方便有需要的朋侪进行查阅和参考。当然,不是说这篇文章会把这个事情讲清楚,肯定没法一次性说清楚并且也不肯定完全精确,所以,有关更多内容和细节建议还是请检察 VMware 官方产品文档《vSphere Authentication》
 
一、vCenter Server 所使用的证书类型

vCenter Server 中使用了各种各样的证书来确保相干组件服务可以或许互相验证以及加密通信,默认情况下,vSphere 使用 VMware Certificate Authority (VMCA) 证书颁发机构置备 vCenter Server 的相干证书,并且这些证书存储在 VMware Endpoint Certificate Store (VECS)端点证书存储中。虽然 vCenter Server 支持使用自签名证书来替换 vSphere 证书管理模式中由 VMCA 置备的证书,好比计算机 SSL 证书,但是这样会大大增加 vSphere 证书管理的复杂度,因为必须人工安装和管理这些证书,除非企业内部有严格的证书管理要求,否则使用 VMCA 就已经足够安全和值得信赖了。
vCenter Server 证书类型置备方式VECS 证书库备注
根证书VMCATRUSTED_ROOTS包含全部受信任的根证书。
计算机 SSL 证书VMCAMACHINE_SSL_CERT计算机 SSL 证书用于计算机的安全 SSL 连接。
解决方案用户证书VMCAmachine
vpxd
vpxd-extension
vsphere-webclient
wcp
Machine 解决方案用户证书用于进行 SAML 令牌交换,与计算机 SSL 证书没有任何关系。
其他证书VMCA
SMS
BACK_STORE
......
vSphere Certificate Manager 实用步伐的备份库 (BACKUP_STORE)。
内部证书VMCASTS (*)Security Token Service (STS) 是一项发布、验证和续订安全令牌的 Web 服务。
注*:作为令牌颁发者,Security Token Service (STS) 使用私钥对令牌进行签名,并发布公用证书供服务验证令牌签名。vCenter Server 管理 STS 签名证书并将其存储在 VMware Directory Service (vmdir) 中。
 
二、vCenter Server 各版本证书有用期

当 vCenter Server 初始安装过后,这些证书已经默认由 VMCA 置备到系统当中,并且不同类型的证书具有不同的有用期,如下表所示(来源于 SS-Engineer)。我们在使用 vCenter Server 时,最好将这些证书的监控管理加入到运维工作当中,假如在证书过期前没有得到处理, vCenter Server 相干服务可能会出现故障。
vCenter Server 版本根证书计算机 SSL 证书解决方案用户证书STS 证书
6.510 年10 年10 年10 年
6.5 U110 年10 年10 年10 年
6.5 U210 年2 年2 年2 年
6.5 U310 年2 年2 年2 年
6.710 年10 年10 年10 年
6.7 U110 年10 年10 年10 年
6.7 U210 年10 年10 年10 年
6.7 U3F及更低10 年10 年10 年10 年
6.7 U3G及更高10 年2 年2 年10 年
7.010 年2 年10 年(*)10 年
7.0 U110 年2 年10 年(*)10 年
7.0 U210 年2 年10 年(*)10 年
7.0 U310 年2 年10 年10 年
8.010 年2 年10 年10 年
8.0 U110 年2 年10 年10 年
8.0 U210 年2 年10 年10 年
8.0 U310 年2 年10 年10 年
注*:从 vCenter Server 7.0 开始,WCP 证书已经添加至解决方案用户证书当中,并且在 7.0、7.0 U1 以及 7.0 U2 版本中,WCP 证书的有用期为 2 年,而从 7.0 U3 版本开始,WCP 证书的有用期为 10 年。假如从 7.0、7.0 U1 以及 7.0 U2 版本升级到 7.0 U3 及之后的版本,WCP 证书的有用期自动延伸至 10 年。除此证书之外,假如 vCenter Server 从当前版本升级到更新的版本,升级后的版本依然会继承之前旧版本的证书到期日期,这一点需要特别留意。
 
三、vCenter Server 证书过期解决办法

怎样监控和管理 vCenter Server 的各种证书,确实是一件麻烦并且令人困惑的事情。当证书快要过期时,有的证书会提前在 vSphere Client 告警,但是有的证书却又不会,好比 STS 证书(早期 vSphere 版本)。有的证书可以通过 vSphere Client 检察其状态并管理更新,而有的证书又只能通过 CLI 命令行检察状态和管理更新。这个确实没有什么比力好的办法,可以完美的同时解决 vCenter Server 全部证书的统一监控管理,因此,下面为大家网络归纳了相干链接,渴望可以或许帮助并解决 vCenter Server 证书过期问题。
在执行证书替换或更新操作时,可能需要停止和启动 vCenter Server 相干服务,参考以下链接了解怎样管理 vCenter Server 相干服务;大概还会用到相干链接中的脚本文件,假如将文件上传至 vCenter Server 遇到问题,以下链接也允许以帮助到你。
由于证书过期问题,vCenter Server 服务会变得不可用,无法登录 vSphere Client 检察运行状态,以下链接可以帮助你怎样通过命令行检察 vCenter Server 证书的状态,并确定是否由证书过期而导致的服务不可用。
假如查抄确定有证书出现过期,以下链接可以帮助你解决 vCenter Server 证书过期问题,好比使用 vSphere Certificate Manager 实用步伐和 Python 脚本来统一更新 vCenter Server 过期证书。
除了上面链接中的方法可以统一管理 vCenter Server 证书以外,也可以参考下面的链接对 vCenter Server 中的某类证书单独进行管理,但还是建议最好将这些链接综合查阅后再执行更新或替换操作。
1)根证书
2)计算机 SSL 证书
3)解决方案用户证书
4)STS 证书
5)SMS 证书
6)data-encipherment 数据加密证书
7)BACUP_STORES 备份证书
留意,当你在处理 vCenter Server 证书过期问题时,不能仅考虑过期证书的更新或替换,因为实际环境中可能还摆设了其他解决方案(如NSX、SRM等)或第三方解决方案,假如没有进行综合的判断而执行了上述操作,可能会导致业务的中断甚至数据的丢失。

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

罪恶克星

金牌会员
这个人很懒什么都没写!

楼主热帖

标签云

挺好的 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表