??__分享软件技术知识,点评软件行业时事。
本期讲师简介
杨建
成享软件技术顾问
在行业内有7年的从业经验,具有丰富的虚拟化实际操作经验。获得VMwareVCP-NV 、东方通证书。
本期课堂对vCenter Server 上 STS 证书过期的解决办法进行梳理讲解。
01
现象
vCenter Server毫无征兆的突然网页报503,不能连接到endpoint。也有可能出现登陆时,即使用户密码正确,也提示输入的用户密码错误。
Failed to connect to endpoint:
[N7Vmacore4Http20NamedPipeServiceSpecE:0x00007fb444041040] _serverNamespace = / action = Allow _pipeName =/var/run/vmware/vpxd-webserver-pipe
1.1
VMware Endpoint 证书存储 (VECS)
充当可以存储在密钥库中的证书、专用密钥以及其他证书信息的本地(客户端)存储库。可以选择不使用 VMCA 作为证书颁发机构和证书签名者,但必须使用 VECS 存储所有 vCenter 证书、密钥等。ESXi证书存储在每个本地主机中,而不是 VECS 中。
VECS 作为 VMware Authentication Framework 守护进程 (VMAFD) 的一部分运行。VECS 在每个嵌入式部署、Platform Services Controller节点以及管理节点上运行,并保留包含证书和密钥的密钥库。
VECS 会定期轮询 VMware Directory Service (vmdir),以获取对受信任的根存储的更新。还可以使用vecs-cli命令显式管理 VECS 中的证书和密钥。请参见vecs-cli 命令参考。
VECS 库
库
描述
计算机 SSL 库
(MACHINESSLCERT)
由每个 vSphere 节点上的反向代理服务使用。由 VMware Directory Service (vmdir) 在嵌入式部署和每个 Platform Services Controller节点上使用。vSphere 6.0 及更高版本中的所有服务通过使用计算机 SSL 证书的反向代理进行通信。为了实现向后兼容性,5.x 服务仍使用特定端口。因此,某些服务(如 vpxd)仍使其自身的端口处于打开状态。
受信任的根存储
(TRUSTED_ROOTS)
包含所有受信任的根证书。
解决方案用户库
machine“vpxd“vpxd-extension“vsphere-webclient
VECS 为每个解决方案用户提供一个库。每个解决方案用户证书的主体必须是唯一的,例如 machine 证书不能具有与 vpxd 证书相同的主体。解决方案用户证书用于对 vCenter Single Sign-On进行身份验证。vCenter Single Sign-On 会检查证书是否有效,但不检查其他证书属性。在嵌入式部署中,所有解决方案用户证书都位于相同的系统中。以下解决方案用户证书存储包括在每个管理节点和每个嵌入式部署的 VECS 中:machine:由组件管理器、许可证服务器和日志记录服务使用。注:Machine 解决方案用户证书与计算机 SSL 证书没有任何关系。计算机解决方案用户证书用于进行 SAML 令牌交换。计算机 SSL 证书用于计算机的安全 SSL 连接。vpxd:vCenter 服务守护程序 (vpxd) 存储位于管理节点和嵌入式部署上。vpxd 使用此存储中存储的解决方案用户证书对 vCenter Single Sign-On 进行身份验证vpxd-extension:vCenter 扩展存储。包括 Auto Deploy 服务、Inventory Service 以及不属于其他解决方案用户的其他服务。vsphere-webclient:vSphere Web Client 存储。还包括其他一些服务,例如性能图表服务。每个 Platform Services Controller节点包含一个 machine 证书。
vSphere 证书管理器实用程序备份库 (BACKUP_STORE)
由 VMCA(VMware 证书管理器)用来支持证书恢复。仅将最近的状态存储为备份,无法返回多个步骤。
其他库
解决方案可能会添加其他库。例如,Virtual Volumes 解决方案会添加 SMS 库。请勿修改这些库中的证书,除非 VMware 文档或 VMware 知识库文章要求进行此类修改。注:删除 TRUSTEDROOTSCRLS 存储可能会损坏证书基础架构。请勿删除或修改 TRUSTEDROOTSCRLS 存储。
vCenter Single Sign-On服务会在磁盘上存储令牌签名证书及其 SSL 证书。可以从 vSphere Client更改令牌签名证书。
某些证书在启动期间可以临时或永久存储在文件系统中。请勿更改文件系统上的证书。使用 vecs-cli可在存储在 VECS 中的证书上执行操作。
1.2
当STS(安全令牌服务)证书过期
会发生这些问题。内部服务和解决方案用户无法获取有效令牌,并且它们无法按预期工作。
当STS证书过期时,它不会发出警告。在某些系统上,此期限可能会在首次部署后的两年内立即发生。
注意事项:
在以下情况下,STS签名证书的使用寿命预计为2年左右。
并非所有6.5 U2或更高版本,但仅在6.5版本中仅6.5 U2或更高版本。
–从U2或更高版本(仅6.5行)开始全新安装PSC / vCenter Server 6.5。
–新安装的PSC / vCenter Server 6.5 U2或任何更高版本的6.5,并已升级到更高版本,包括6.7和7.0。
–在PSC或vCenter Server安装后,使用certool替换了STS签名证书。
– STS签名证书已替换为自定义证书(内部/外部CA签名)。
重要信息:
STS 证书过期时不会触发证书到期警报。本知识库文章中介绍了可以确定 STS 证书到期日期的唯一方法。VMware 建议您偶尔检查 STS 证书以确保其未过期。
02
准备
2.1
备份
如果STS证书没有过期,务必尽快对PSC、vCenter Server进行备份。登陆https://vCenterServerFQDN:5480的主机管理进行备份。可备份到FTP目录。修改root账户的密码管理策略。
2.2
关机快照
证书修复脚本将与VMDIR的数据库进行交互。在运行脚本之前,请同时为SSO域中的所有vCenter Server和Platform Service Controller制作脱机快照。每个SSO域只能运行一次该脚本。
03
检查 vCenter Server上
STS 证书的过期日期
要验证 STS 证书的到期日期,请使用以下方法之一。
3.1
Web 客户端 (Flash)
连接到 vSphere Web Client:https://vcenterserveripaddressor_fqdn/vsphere-client
选择管理员 > Single Sign-On > 配置 > 证书 > STS 签名
HTML5 客户端查看 STS 证书:
3.2
脚本
下载本知识库文章所附的 checksts.py 脚本
上载到 vCenter Server 或外部 PSC。例如,VCSA 上的 /tmp 或 Windows 上的 %TEMP%
使用 cd /tmp 更改为 /tmp 目录:
运行
python checksts.py
–对于 Windows,请运行 %VMWAREPYTHONBIN% checksts.py
Appliance:
Windows:
04
“签名证书有效”时的续订
6.5版本及以下的操作方法是:https://vc-ip-address/psc,然后选择:证书 – 证书 管理– 选择证书 – 续订
6.7 的操作方法是:主页 – 系统管理 – 证书 – 证书管理 – 选择证书 – 操 作 – 续订
05
“签名证书无效”
-在vCenter Server Appliance 6.5 / 6.7上使用Shell脚本重新生成和替换已过期的STS证书
下载此kb随附的“ fixsts.sh”脚本,然后将其上载到/ tmp文件夹中的受影响的PSC或具有嵌入式PSC的VC,或者使用vi将其内容复制到设备上的文本文件中
cd到/ tmp文件夹
运行chmod x fixsts.sh以使文件可执行
运行./fixsts.sh
重新启动SSO域中所有vCenter和/或PSC上的服务
使用证书管理器检查过期并替换您可能拥有的其他任何过期的证书
如何使用vSphere证书管理器替换SSL证书中所示
–以下单行代码可以确定vCenter Server Appliance的其他过期证书:
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list –store $i –text | egrep “Alias|Not After”; done
如果替换了计算机SSL或VMCA根证书,则需要重新注册第二方解决方案,例如NSX,SRM和vSphere Replication。
注意:
如果您使用的是不带网关的HLM(混合链接模式),则需要按照以下步骤将证书从Cloud重新同步到本地,脚本将要求SSO管理员密码,然后继续进行操作。重新生成并替换STS证书。
06
使用 vSphere Certificate
Manager 替换 SSL 证书
vSphere Certificate Manager 可用于:
实施默认证书(使用选项 4)
–未计划实施由企业 CA (如 Microsoft Windows CA) 或商业 CA(Verisign、GoDaddy 等)签署的自定义 CA 证书时,可以使用此选项。
–在此环境中,vSphere 证书由 VMCA 生成和颁发,并由 vSphere Endpoint Certificate Store (VECS) 存储。
–默认情况下,在 vSphere 之外这些证书不被信任。
将 VMCA 证书替换为自定义 CA 证书(使用选项 2)
–在此环境中,将默认的 VMCA 证书和密钥替换为来自企业 CA (如 Microsoft Windows CA) 或商业 CA(Verisign、GoDaddy 等)的自定义 CA 证书和密钥。
–然后 VMCA 将用于生成新 vSphere 证书,这些证书将由以前导入的自定义 CA 证书和密钥签署。
–在 vSphere 之外,这些由 VMCA 颁发的证书是被信任的。
将所有 vSphere 证书和密钥替换为自定义 CA 证书和密钥(使用选项 5)
–在此环境中,将计算机证书和所有的解决方案用户证书替换为由企业 CA (如 Microsoft Windows CA) 或商业 CA(Verisign、GoDaddy 等)签署的自定义 CA 证书。
– VMCA 不负责颁发这些证书。
THEEND
四川成享软件股份有限公司
