检查 vCenter Server 上 STS 证书的过期日期 (79248)

---

Last Updated: 2021/5/19Categories: TroubleshootingTotal Views: 13190 12Language:                         Chinese (Simplified)JapaneseSpanishEnglish subscribe

Learn how VMware Skyline Advisor and Skyline Health Diagnostics work together to provide proactive intelligence and self-service log analysis.

• Use Skyline Advisor to avoid issues before they occur across VCF, vSphere, vSAN, NSX, vROps & Horizon. Skyline Findings are based on top KBs, VMSAs/CVEs and design best practices.
• Use Skyline Health Diagnostics to root cause vSphere & vSAN logs when an issue occurs. Skyline Health Diagnostic Findings are based on top KBs and VMSA/CVEs. You can use the Skyline Health Diagnostics tool in online or offline mode.
• If you require additional help from technical support, please use Skyline Advisor to initiate a Log Assist to reduce time to upload logs. TSEs can also initiate logs to reduce effort.

 Symptoms

• VMware Security Token Service (STS) 证书即将过期。
• VMware Security Token Service (STS) 证书状态检查。

 Purpose

本文提供了确定 VMware STS 证书过期日期的步骤。

注意：

• STS 证书过期时不会触发证书到期警报。
• 如果证书设置为 6 个月内过期，VMware 建议替换该证书。如果过期日期在六个月之后，请安排在适当的时间替换证书。
• 如果 STS 证书即将过期或已过期，请参见：
  • "Signing certificate is not valid" error in VCSA 6.5.x/6.7.x and vCenter Server 7.0.x (76719)
  • "Signing certificate is not valid" error in vCenter Server 6.5.x and 6.7.x on Windows (79263)

 Cause

在以下情况下，STS 签名证书的预期生命周期约为 2 年。

注意：

• 并非所有 6.5 U2 或更高版本，仅限 6.5 版产品线上的 6.5 U2 或更高版本。
• 从 U2 或更高版本（仅限 6.5 产品线）开始，全新安装 PSC/vCenter Server 6.5。
• 全新安装 PSC/vCenter Server 6.5 U2 或任何更高的 6.5 版本，并升级到更高版本（包括 6.7 和 7.0）。
• 安装 PSC 或 vCenter Server 后，使用 certool 替换了 STS 签名证书。
• STS 签名证书替换为了自定义证书（内部/外部 CA 签名证书）。

 Resolution

重要信息：在 vCenter Server 的 6.5U3k、6.7 U3j 或 7.0 U1 版本中，当 vCenter Single Sign-On Security Token Service (STS) 签名证书临近过期时，您会每周收到一次通知。通知从 STS 证书过期前 90 天开始发送，并在过期前的最后一周变为每天发送一次。

要验证 VMware Security Token Service (STS) 的过期日期，请执行以下操作：

HTML 5 客户端

注意：适用于 vCenter Server 7.0 Update2 及更高版本

1. 通过 https://vcenter_server_ip_address_or_fqdn/ui 连接到 vSphere HTML5 客户端
2. 在主页菜单中，选择“系统管理”。
3. 在“证书”下，单击“证书管理”。
4. 查看 STS 签名证书信息。

注意：该卡视图将包含以下信息：

• 表示证书何时过期的“有效期至”日期。
• 表示证书有效的绿色对勾和表示证书过期的橙色对勾警告。
• 用于显示活动证书链更多详细信息的“查看详细信息”链接。

VCSA

1. 下载本文所附的 checksts.py 脚本。
2. 将随附的脚本上载到 VCSA 或外部 PSC。 
   
   例如，/tmp
   
   注意：您可以使用 WinSCP 将脚本上载到 VCSA。有关其他信息，请参见 Error when uploading files to vCenter Server Appliance using WinSCP (2107727)。

如果通过 WinSCP 连接到 VCSA 时收到错误，请运行以下命令：

chsh -s /bin/bash root（如以上链接中所述）。

1. 成功将脚本上载到 VCSA 后，将目录更改为 /tmp。
   
   例如：
   
   cd /tmp
    
2. 运行 python checksts.py。
   

Windows

1. 下载本文所附的 checksts.py 脚本。
2. 将随附的脚本上载到安装了 vCenter Server 的 Windows Server：
   
   例如 %TEMP% 
    
3. 成功将脚本上载到 Windows 后，将目录更改为 %TEMP%。
4. 运行 "%VMWARE_PYTHON_BIN%" checksts.py。
   

Web Client Flash

注意：Adobe Flash Player is going End of Life (EOL) on Dec 31, 2020。各大 Web 浏览器制造商都已经进行了相应的调整，确保在这一日期禁用/停止运行 Flash 应用程序。有关 Flash 证书的详细信息，请参见 VMware Flash End of Life and Supportability (78589)。

1. 通过 https://vcenter_server_ip_address_or_fqdn/vsphere-client 连接到 vSphere Web Client。
2. 选择系统管理 > Single Sign-On > 配置 > 证书 > STS 签名。
   
   
   
   注意：无法从 HTML5 客户端查看 STS 证书。

 

 Related Information

重要信息：STS 证书过期时不会触发证书到期警报。本文介绍了可以确定 STS 证书到期日期的唯一方法。VMware 建议您不定期检查 STS 证书以确保其未过期。

有关其他信息，请参见 VMware 的 vSphere 博客：
Signing Certificate is Not Valid – Security Token Service Certificate Issue in vSphere。

下载/替换或更改/创建 STS 证书：有关非 STS 证书的证书状态警报详细信息，请参见 CertificateStatusAlarm - There are certificate that expired or about to expire / Certificate Status Change Alarm Triggered on VMware vCenter Server。