Operational Defect Database
BugZero updated this defect 52 days ago.
Data sources
All data on this page is proprietary to BugZero® or gathered from public sources
VMware | 97323
查看 vCenter Server 上 Security Token Service (STS) 证书的过期日期
Last update date:
3/29/2024
Affected products:
vCenter Server
vCenter Server Appliance
Affected releases:
6.77.08.06.5
Fixed releases:
No fixed releases provided.
Description:
Symptoms
VMware Security Token Service (STS) 证书即将过期。VMware Security Token Service (STS) 证书状态检查。
Purpose
本文提供了确定 VMware STS 证书过期日期的步骤。注意: STS 证书过期时不会触发证书到期警报。如果证书设置为 6 个月内过期,VMware 建议替换该证书。如果过期日期在六个月之后,请安排在适当的时间替换证书。如果 STS 证书即将过期或已过期,请参见: "Signing certificate is not valid" error in VCSA 6.5.x/6.7.x and vCenter Server 7.0.x (76719)"Signing certificate is not valid" error in vCenter Server 6.5.x and 6.7.x on Windows (79263)
Cause
在以下情况下,STS 签名证书的预期生命周期约为 2 年。注意: 并非所有 6.5 U2 或更高版本,仅限 6.5 版产品线上的 6.5 U2 或更高版本。从 U2 或更高版本(仅限 6.5 产品线)开始,全新安装 PSC/vCenter Server 6.5。全新安装 PSC/vCenter Server 6.5 U2 或任何更高的 6.5 版本,并升级到更高版本(包括 6.7 和 7.0)。安装 PSC 或 vCenter Server 后,使用 certool 替换了 STS 签名证书。STS 签名证书替换为了自定义证书(内部/外部 CA 签名证书)。
Resolution
重要信息:在 vCenter Server 的 6.5U3k、6.7 U3j 或 7.0 U1 版本中,当 vCenter Single Sign-On Security Token Service (STS) 签名证书临近过期时,您会每周收到一次通知。通知从 STS 证书过期前 90 天开始发送,并在过期前的最后一周变为每天发送一次。要验证 VMware Security Token Service (STS) 的过期日期,请执行以下操作: HTML 5 客户端 注意:适用于 vCenter Server 7.0 Update2 及更高版本 通过 https://vcenter_server_ip_address_or_fqdn/ui 连接到 vSphere HTML5 客户端在主页菜单中,选择“系统管理”。在“证书”下,单击“证书管理”。查看 STS 签名证书信息。 注意:该卡视图将包含以下信息: 表示证书何时过期的“有效期至”日期。表示证书有效的绿色对勾和表示证书过期的橙色对勾警告。用于显示活动证书链更多详细信息的“查看详细信息”链接。 VCSA 下载本文所附的 checksts.py 脚本。将随附的脚本上载到 VCSA 或外部 PSC。 例如,/tmp 注意:您可以使用 WinSCP 将脚本上载到 VCSA。有关其他信息,请参见 Error when uploading files to vCenter Server Appliance using WinSCP (2107727)。 如果通过 WinSCP 连接到 VCSA 时收到错误,请运行以下命令:chsh -s /bin/bash root(如以上链接中所述)。 成功将脚本上载到 VCSA 后,将目录更改为 /tmp。 例如: cd /tmp 运行 python checksts.py。 Windows 下载本文所附的 checksts.py 脚本。将随附的脚本上载到安装了 vCenter Server 的 Windows Server: 例如 %TEMP% 成功将脚本上载到 Windows 后,将目录更改为 %TEMP%。运行 "%VMWARE_PYTHON_BIN%" checksts.py。 Web Client Flash 注意:Adobe Flash Player is going End of Life (EOL) on Dec 31, 2020。各大 Web 浏览器制造商都已经进行了相应的调整,确保在这一日期禁用/停止运行 Flash 应用程序。有关 Flash 证书的详细信息,请参见 VMware Flash End of Life and Supportability (78589)。 通过 https://vcenter_server_ip_address_or_fqdn/vsphere-client 连接到 vSphere Web Client。选择系统管理 > Single Sign-On > 配置 > 证书 > STS 签名。 注意:无法从 HTML5 客户端查看 STS 证书。
Related Information
重要信息:STS 证书过期时不会触发证书到期警报。本文介绍了可以确定 STS 证书到期日期的唯一方法。VMware 建议您不定期检查 STS 证书以确保其未过期。有关其他信息,请参见 VMware 的 vSphere 博客:Signing Certificate is Not Valid – Security Token Service Certificate Issue in vSphere。下载/替换或更改/创建 STS 证书:有关非 STS 证书的证书状态警报详细信息,请参见 CertificateStatusAlarm - There are certificate that expired or about to expire / Certificate Status Change Alarm Triggered on VMware vCenter Server。VMware Skyline Health Diagnostics for vSphere - FAQ"503 Service Unavailable" error on the vSphere Web Client when logging in or accessing the vCenter Server
