VCSA 6.7证书过期别慌！手把手教你通过修改系统时间+命令行续订STS证书（附fixsts.sh脚本）

VCSA 6.7证书过期应急处理全指南：从临时救急到彻底修复

当你清晨走进机房，准备像往常一样登录VCSA管理界面时，屏幕上赫然出现的证书过期错误提示瞬间让血压飙升——所有管理功能瘫痪，关键业务面临中断风险。这正是许多VMware管理员遭遇过的噩梦场景，尤其在仍广泛使用的VCSA 6.7版本中，STS证书问题更是频发痛点。本文将带你一步步实施"时间回溯"急救方案，并完成彻底的证书续订流程，最后还会分享几个只有老运维才知道的避坑技巧。

1. 紧急情况诊断与风险评估

证书过期导致的VCSA管理界面不可用通常表现为浏览器安全警告和API连接失败。在开始任何操作前，首先要确认以下几点：

• 确保证书过期是唯一问题：检查网络连通性、服务状态等基础项
• 评估业务影响：正在运行的虚拟机通常不受影响，但新操作无法执行
• 备份当前状态：即使无法登录Web界面，也应通过SSH导出关键配置

重要提示：修改系统时间是权宜之计，必须在业务低峰期操作，并告知相关团队可能出现的短暂服务波动

典型证书过期错误会明确显示失效日期，例如：

SSL certificate error: certificate has expired on 12/23/2022

2. 临时解决方案：系统时间调整

当证书过期阻断所有管理通道时，调整系统时间是恢复访问的最快方法。以下是详细操作流程：

2.1 准备工作

1. 确保有VCSA的root权限凭据
2. 准备SSH客户端工具（如PuTTY）
3. 记录当前准确时间，便于后续恢复

2.2 分步实施

通过SSH连接到VCSA主机后，执行以下命令序列：

# 禁用时间同步服务 /usr/bin/timedatectl set-ntp false # 设置过去日期（示例调整为证书有效期内） date -s "2022-12-22 09:00:00" # 将时间写入硬件时钟 hwclock --systohc # 重启所有服务 service-control --start --all

关键参数说明：

• 日期格式必须为YYYY-MM-DD HH:MM:SS
• 时间应设置为证书过期前至少1天
• 服务重启可能需要3-5分钟完成

2.3 验证与注意事项

成功执行后，你应该能：

• 重新访问5480端口的管理界面
• 使用vSphere Client登录

但需特别注意：

• 所有时间相关功能（如日志、监控）将显示错误时间
• 某些依赖时间同步的服务可能异常
• 此状态不宜超过2小时，应尽快完成正式修复

3. 永久解决方案：证书续订流程

临时恢复访问后，必须立即进行完整的证书续订操作。VCSA 6.7的证书体系包含多个组件，需要分别处理。

3.1 标准证书续订

1. 登录VCSA 5480管理界面
2. 导航至"Certificate Management" > "Renew Certificates"
3. 勾选所有过期证书（通常包括Machine SSL和Solution User证书）
4. 确认续订操作，新证书默认有效期2年

3.2 STS证书特殊处理

VCSA 6.7特有的STS证书需要通过命令行工具更新：

1. 下载官方修复脚本：

wget https://kb.vmware.com/s/article/76719 -O /tmp/fixsts.sh

2. 设置执行权限并运行：

chmod +x /tmp/fixsts.sh cd /tmp ./fixsts.sh

3. 根据提示输入root密码，等待脚本执行完成（约2-3分钟）

3.3 最终验证步骤

1. 恢复正确系统时间：

/usr/bin/timedatectl set-ntp true ntpdate -u pool.ntp.org

2. 检查所有证书状态：

/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store TRUSTED_ROOTS

3. 完整重启VCSA服务：

service-control --stop --all && service-control --start --all

4. 高级故障排除与优化建议

即使完成上述步骤，某些特殊环境下仍可能出现异常。以下是几个实战中总结的经验：

4.1 VSAN环境特殊处理

如果VSAN性能监控界面仍报错，尝试：

# 重置VSAN监控服务 /usr/lib/vmware-vsan-health/elasticsearch/config/scripts/restart.sh

4.2 证书更新失败处理

当标准续订流程失效时，可尝试强制重建：

/usr/lib/vmware-vmca/bin/certificate-manager

选择选项"Reset all certificates"（会生成全新证书链）

4.3 预防性维护方案

为避免再次出现证书过期危机，建议：

• 设置证书到期前60天的邮件提醒
• 创建定期检查的运维日历项
• 考虑升级到VCSA 7.0+版本（证书管理更完善）

5. 自动化监控与维护脚本

对于管理多套环境的运维团队，可以部署以下自动化方案：

证书到期检查脚本（保存为check_vcsa_cert.sh）：

#!/bin/bash VC_IP="your_vcsa_ip" CERT_EXPIRE=$(echo | openssl s_client -connect ${VC_IP}:443 2>/dev/null | openssl x509 -noout -dates | grep 'notAfter') EXP_DATE=$(echo $CERT_EXPIRE | cut -d'=' -f2) TODAY=$(date +%s) EXP_UNIX=$(date -d "$EXP_DATE" +%s) DAYS_LEFT=$(( (EXP_UNIX - TODAY) / 86400 )) if [ $DAYS_LEFT -lt 30 ]; then echo "警报: VCSA证书将在${DAYS_LEFT}天后过期!" # 此处可添加自动邮件通知代码 fi

设置cron定期执行：

0 8 * * * /path/to/check_vcsa_cert.sh >> /var/log/vcsa_cert_check.log

这套方案不仅解决了当前危机，更重要的是建立了预防机制。记得在每次重大变更后验证证书状态，毕竟在虚拟化环境中，安全链条的每个环节都至关重要。