vCenter 更新证书

今天打开 vCenter 时，返回了 500 Internal Server Error。检查发现，是证书过期了。

error.png

一顿搜索之后，得到了两种解决方案

方案一

1. 修改vCenter时间

进入vCenter 控制台，修改计算机时间（到过期之前）

date -s 20250303

2. 续订证书

此时就可以进入 vCenter Web Client 了, 进入 "系统管理\证书管理"，此时可以进行证书续订

vcenter.png

然而，我使用这种方式却没有成功，因为进入"证书管理"后并没有看到证书!

方案二 （推荐）

使用 vCenter 的 certificate-manager 工具来进行证书续期。

1. 运行certificate-manager

./usr/lib/vmware-vmca/bin/certificate-manager

此时可以看到如下选项：

options.png

选项说明如下：

选项编号	说明	需要的信息
1	使用自定义 CA 证书替换 Machine SSL 证书。 此选项提供生成 Machine SSL 证书的证书签名请求（CSR）和密钥的子选项。	administrator@vsphere.local 密码 自定义 Machine SSL 证书和密钥路径 自定义 VMCA 根证书路径
2	使用自定义 CA 签名证书替换 VMCA 根证书，并替换所有证书。 此选项提供生成 VMCA 根签名证书的 CSR 和密钥的子选项。	administrator@vsphere.local 密码 配置 /usr/lib/vmware-vmca/share/config/certool.cfg 文件（用于 VMCA 生成证书） 根签名证书和根签名密钥 可选：是否需要用自定义 CA 替换所有解决方案用户证书？ 是：提供所有解决方案用户（vpxd、vpxd-extension、vsphere-webclient、machine）的自定义证书和密钥路径 否：VMCA 使用自定义 CA 签名证书生成新的解决方案用户证书/密钥
3	使用 VMCA 生成的证书替换 Machine SSL 证书	administrator@vsphere.local 密码 配置 certool.cfg 文件
4	重新生成新的默认 VMCA 根证书，并替换所有证书	administrator@vsphere.local 密码 配置 certool.cfg 文件
5	使用自定义 CA 证书替换解决方案用户证书	administrator@vsphere.local 密码 自定义根 CA 证书路径 vpxd 解决方案用户的自定义证书和密钥路径 vpxd-extension 解决方案用户的自定义证书和密钥路径 vSphere-webclient 解决方案用户的自定义证书和密钥路径 machine 解决方案用户的自定义证书和密钥路径 若 vCenter Server 版本为 7.0，还需提供 hvc 和 wcp 解决方案用户的自定义证书和密钥路径
6	使用 VMCA 生成的证书替换解决方案用户证书	administrator@vsphere.local 密码
7	通过重新发布旧证书撤销上次执行的操作	administrator@vsphere.local 密码
8	重置所有证书	administrator@vsphere.local 密码 配置 certool.cfg 文件

2. 选择4

此时会有很多信息需要填写，这里需要主要三个选项：
1. Enter proper value for IPAddress
这个需要填写vCenter的固定IP

2. Enter proper value for 'Hostname'
这个需要填写主机域名

3. Enter proper value for VMCA 'Name'
这个需要填写主机域名（如果没有配置，则填写IP）

这样就能够完成证书的续期了