# 续订 vCenter 证书 ## 1 评估 - 检查当前部署 [[check-vcenter#1.1 检查当前部署|>>]] 1. vCenter 证书使用默认 VMCA 还是自定义 CA 签名 2. 单节点还是多节点 vCenter, 外部 PSC, 外部数据库, 链接模式 3. 外部关联组件, 如 Horizon, NSX, vROps, 备份, 防病毒 - 检查运行状况 [[check-vcenter#1.2 检查运行状况|>>]] - 影响和风险 - 内部影响 - 证书替换后 vCenter 服务需要重启 - STS 证书替换后链接模式中所有 vCenter 实例服务需要重启 - 外部影响 - 证书替换后外部关联组件可能需要重新信任 vCenter 证书 - 风险 #1 证书替换后 vCenter 服务无法启动 - 风险响应措施 [[vsv-operating-warnings#1.2 变更或维护|>>]] - 区分 vCenter 证书相关脚本和工具 [[differentiate-tools-for-vcenter-certificates|>>]] ## 2 实施 > [!note]- 操作说明 > - 以下操作适用于部署时使用默认证书设置, 如有自定义设置请联系顾问 > - 以下操作适用于 vCenter 证书过期前主动替换 > - 如已出现 vCenter 服务不可用同时有证书过期问题, 请优先联系 400 或顾问调查故障具体原因 > - 在确保可回退情况下使用本操作尝试解决问题 > [!warning] 变更或维护提醒 [[vsv-operating-warnings#1.2 变更或维护|>>]] - 前提条件 [[maintain-vcenter#2.1 前提条件|>>]] - 准备 - 下载脚本, 向 vCenter 传输文件 [[vsv-operating-tricks|>>]] - 检查 vCenter 证书有效期 [[vsv-certificate-management#1.2 检查证书|>>]] - 变更前期操作 [[maintain-vcenter#2.3 维护前期操作|>>]] ### 2.1 使用 `fixcerts` 续订 STS 和其他证书 - 仅替换过期证书 `python fixcerts.py replace --certType expired_only` - 替换所有证书 `python fixcerts.py replace --certType all` - [...](https://knowledge.broadcom.com/external/article?legacyId=90561) ### 2.2 使用 `fixsts` 续订 STS 证书 - `chmod +x fixsts.sh` - `./fixsts.sh` - [...](https://knowledge.broadcom.com/external/article?legacyId=90561) ### 2.3 使用 `certificate-manager` 续订其他证书 - `/usr/lib/vmware-vmca/bin/certificate-manager` -> Option 4 - 证书配置 - Hostname, VMCA Name = vCenter PNID, 其余使用默认值 - `/usr/lib/vmware-vmafd/bin/vmafd-cli get-pnid --server-name localhost` - [...](https://knowledge.broadcom.com/external/article?legacyId=2112283) ### 2.4 验证 1. 验证 vCenter 证书有效期 [[vsv-certificate-management#1.2 检查证书|>>]] 2. 重启 vCenter 虚拟机 3. 变更后期操作 [[maintain-vcenter#2.7 维护后期操作|>>]] --- > [!info] 本页面永久链接 https://fillgaps.pro/vsv-operating/renew-vcenter-certificates > [!info] 本页面最新 [PDF](https://file.fillgaps.pro/renew-vcenter-certificates_2404v1.pdf) 和 [Web](https://file.fillgaps.pro/renew-vcenter-certificates_2404v1.mht) 下载 > [!info] 本页面如有纠正或补充建议, 请发[邮件](mailto:[email protected])或公众号私信 --- ## 3 参考资源 - VMware 知识库 [[vsv-kb-contents|>>]] - [How to Replace Expired Certificates on vCenter Server using Fixcerts Python Script (90561)](https://knowledge.broadcom.com/external/article?legacyId=90561) - ["Signing certificate is not valid" error in VCSA 6.5.x/6.7.x and vCenter Server 7.0.x ,8.0.x. (76719)](https://knowledge.broadcom.com/external/article?legacyId=76719) - ["Signing certificate is not valid" error in vCenter Server 6.5.x and 6.7.x on Windows (79263)](https://knowledge.broadcom.com/external/article?legacyId=79263) - [How to regenerate vSphere 6.x, 7.x, and 8.0 certificates using self-signed VMCA (2112283)](https://knowledge.broadcom.com/external/article?legacyId=2112283) - 如何使用自签名 VMCA 来重新生成 vSphere 6.x 证书 (2112283)