vSphere证书危机:深夜紧急修复STS证书过期的全流程实录
凌晨三点的手机震动声在寂静中显得格外刺耳。运维团队群里的告警消息不断刷屏:"vCenter无法登录,所有虚拟机管理操作中断"。抓起笔记本的瞬间,我意识到这很可能又是一起STS证书过期引发的紧急事件——这种两年一次的"定时炸弹"总爱在深夜爆发。本文将完整还原从故障定位到修复的全过程,手把手带你用官方fixsts.sh脚本化解证书危机。
1. 故障现象与快速诊断
当vCenter突然拒绝所有登录请求时,第一要务是确认是否属于STS证书过期问题。以下是典型的症状组合:
- 前端表现:输入正确密码后反复跳转登录页面(HTTP 400错误),或直接显示503服务不可用
- 后台日志:检查
/var/log/vmware/vpxd-svcs/vpxd-svcs.log可见关键报错:ERROR [...] Server rejected the provided time range. Cause:ns0:InvalidTimeRange: Signing certificate is not valid [...] cert validity: TimePeriod [startTime=..., endTime=...]
快速验证证书状态的两种方法:
方法一:使用官方检查脚本
wget https://kb.vmware.com/sfc/servlet.shepherd/version/download/068f400000JAn50AAD -O checksts.py python checksts.py方法二:直接查询证书存储
/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store vpxd-extension --text | grep -A1 "Not After"注意:证书过期后,Web界面通常无法访问,必须通过SSH连接VCSA操作
2. 修复前的关键准备工作
拿到fixsts.sh脚本前,这些保护措施能避免灾难性后果:
创建离线快照
在vSphere Host Client中对VCSA虚拟机执行关机状态快照,确保可回退检查系统时间同步
错误的系统时间会导致新证书立即失效:timedatectl status hwclock --hctosys systemctl restart chronyd下载官方修复工具
准备两种下载途径以防网络问题:# 主下载源 wget https://kb.vmware.com/sfc/servlet.shepherd/version/download/068f400000JAn50AAD -O fixsts.sh # 备用下载源 wget https://kb.vmware.com/sfc/servlet.shepherd/version/download/068f400000HW9InAAL -O fixsts.sh处理Windows换行符问题
若脚本报/bin/bash^M错误,执行:sed -i 's/\r$//' fixsts.sh
3. 脚本执行与故障排除
赋予执行权限后,直接运行脚本会提示输入SSO管理员密码:
chmod +x fixsts.sh ./fixsts.sh典型问题及解决方案:
| 错误现象 | 原因分析 | 解决措施 |
|---|---|---|
Operation timed out | 服务启动超时 | 手动逐个启动关键服务 |
Failed to connect to endpoint | 证书未生效 | 强制重启vmware-vpxd服务 |
Invalid credentials | SSO密码错误 | 确认密码或重置SSO配置 |
服务重启的正确顺序:
service-control --stop --all service-control --start vmdird service-control --start vmware-sts-idmd service-control --start --all重要提示:整个SSO域内只需在一台PSC上执行脚本,多节点重复执行会导致数据不一致
4. 验证与后续加固
修复成功后,立即验证各功能模块:
证书有效期检查
for store in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo "[$store]" /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $store --text | grep -A1 "Not After" done服务状态确认
watch -n 1 'service-control --status --all | grep -v "running"'预防性措施
在日历中添加证书到期提醒,设置提前6个月的周期性检查:# 添加至crontab每月检查 0 3 1 * * python /usr/lib/vmware-vmafd/share/scripts/checksts.py | mail -s "STS Cert Check" admin@example.com
5. 深度技术解析:为什么STS证书如此关键
STS(Security Token Service)是vSphere的身份认证核心,其证书过期会导致整个信任链断裂。与普通SSL证书不同,STS证书具有以下特殊性:
- 签发机制:由VMware Certificate Authority(VMCA)自动生成
- 影响范围:影响所有API调用、UI登录和组件间通信
- 更新限制:不能通过常规证书管理界面续订
证书生命周期对比:
| 证书类型 | 默认有效期 | 可续期 | 影响范围 |
|---|---|---|---|
| STS证书 | 2年 | 需脚本 | 全局认证 |
| Machine SSL | 10年 | 可界面更新 | 加密通信 |
| Solution User | 5年 | 自动轮换 | 特定服务 |
这次深夜救火让我再次意识到,对于vSphere这类关键系统,不能仅依赖监控告警。建立完善的证书资产管理体系,才是避免凌晨紧急处理的根本之道。现在,是时候去补个觉了——当然,是在确认所有监控项都恢复绿色之后。
揭秘:从人眼感知到Sensor数据的数学桥梁)
)
