查看 vCenter Server 上 Security Token Service (STS) 证书的过期日期
Article ID: 322013
Updated On:
Products
VMware vCenter Server
Issue/Introduction
本文提供了确定 VMware STS 证书过期日期的步骤。
注意:
Symptoms:
注意:
- STS 证书过期时不会触发证书到期警报。
- 如果证书设置为 6 个月内过期,VMware 建议替换该证书。如果过期日期在六个月之后,请安排在适当的时间替换证书。
- 如果 STS 证书即将过期或已过期,请参见:
Symptoms:
- VMware Security Token Service (STS) 证书即将过期。
- VMware Security Token Service (STS) 证书状态检查。
Environment
VMware vCenter Server 6.7.x
VMware vCenter Server Appliance 6.5.x
VMware vCenter Server 6.5.x
VMware vCenter Server Appliance 6.7.x
VMware vCenter Server 8.0.x
VMware vCenter Server 7.0.x
VMware vCenter Server Appliance 6.5.x
VMware vCenter Server 6.5.x
VMware vCenter Server Appliance 6.7.x
VMware vCenter Server 8.0.x
VMware vCenter Server 7.0.x
Cause
在以下情况下,STS 签名证书的预期生命周期约为 2 年。
注意:
注意:
- 并非所有 6.5 U2 或更高版本,仅限 6.5 版产品线上的 6.5 U2 或更高版本。
- 从 U2 或更高版本(仅限 6.5 产品线)开始,全新安装 PSC/vCenter Server 6.5。
- 全新安装 PSC/vCenter Server 6.5 U2 或任何更高的 6.5 版本,并升级到更高版本(包括 6.7 和 7.0)。
- 安装 PSC 或 vCenter Server 后,使用 certool 替换了 STS 签名证书。
- STS 签名证书替换为了自定义证书(内部/外部 CA 签名证书)。
Resolution
重要信息:在 vCenter Server 的 6.5U3k、6.7 U3j 或 7.0 U1 版本中,当 vCenter Single Sign-On Security Token Service (STS) 签名证书临近过期时,您会每周收到一次通知。通知从 STS 证书过期前 90 天开始发送,并在过期前的最后一周变为每天发送一次。
要验证 VMware Security Token Service (STS) 的过期日期,请执行以下操作:
注意:该卡视图将包含以下信息:
chsh -s /bin/bash root(如以上链接中所述)。
要验证 VMware Security Token Service (STS) 的过期日期,请执行以下操作:
HTML 5 客户端
注意:适用于 vCenter Server 7.0 Update2 及更高版本- 通过 https://vcenter_server_ip_address_or_fqdn/ui 连接到 vSphere HTML5 客户端
- 在主页菜单中,选择“系统管理”。
- 在“证书”下,单击“证书管理”。
- 查看 STS 签名证书信息。
注意:该卡视图将包含以下信息:
- 表示证书何时过期的“有效期至”日期。
- 表示证书有效的绿色对勾和表示证书过期的橙色对勾警告。
- 用于显示活动证书链更多详细信息的“查看详细信息”链接。
VCSA
- 下载本文所附的 checksts.py 脚本。
- 将随附的脚本上载到 VCSA 或外部 PSC。
例如,/tmp
注意:您可以使用 WinSCP 将脚本上载到 VCSA。有关其他信息,请参见 Error when uploading files to vCenter Server Appliance using WinSCP (2107727)。
chsh -s /bin/bash root(如以上链接中所述)。
- 成功将脚本上载到 VCSA 后,将目录更改为 /tmp。
例如:
cd /tmp
- 运行 python checksts.py。
Windows
- 下载本文所附的 checksts.py 脚本。
- 将随附的脚本上载到安装了 vCenter Server 的 Windows Server:
例如 %TEMP%
- 成功将脚本上载到 Windows 后,将目录更改为 %TEMP%。
- 运行 "%VMWARE_PYTHON_BIN%" checksts.py。
Web Client Flash
注意:Adobe Flash Player is going End of Life (EOL) on Dec 31, 2020。各大 Web 浏览器制造商都已经进行了相应的调整,确保在这一日期禁用/停止运行 Flash 应用程序。有关 Flash 证书的详细信息,请参见 VMware Flash End of Life and Supportability (78589)。- 通过 https://vcenter_server_ip_address_or_fqdn/vsphere-client 连接到 vSphere Web Client。
- 选择系统管理 > Single Sign-On > 配置 > 证书 > STS 签名。
注意:无法从 HTML5 客户端查看 STS 证书。
Additional Information
重要信息:STS 证书过期时不会触发证书到期警报。本文介绍了可以确定 STS 证书到期日期的唯一方法。VMware 建议您不定期检查 STS 证书以确保其未过期。
有关其他信息,请参见 VMware 的 vSphere 博客:
Signing Certificate is Not Valid – Security Token Service Certificate Issue in vSphere。
下载/替换或更改/创建 STS 证书:有关非 STS 证书的证书状态警报详细信息,请参见 CertificateStatusAlarm - There are certificate that expired or about to expire / Certificate Status Change Alarm Triggered on VMware vCenter Server。
VMware Skyline Health Diagnostics for vSphere - FAQ
"503 Service Unavailable" error on the vSphere Web Client when logging in or accessing the vCenter Server
有关其他信息,请参见 VMware 的 vSphere 博客:
Signing Certificate is Not Valid – Security Token Service Certificate Issue in vSphere。
下载/替换或更改/创建 STS 证书:有关非 STS 证书的证书状态警报详细信息,请参见 CertificateStatusAlarm - There are certificate that expired or about to expire / Certificate Status Change Alarm Triggered on VMware vCenter Server。
VMware Skyline Health Diagnostics for vSphere - FAQ
"503 Service Unavailable" error on the vSphere Web Client when logging in or accessing the vCenter Server
Feedback
Yes
No
Powered by
