当前位置：首页 > article >正文

手把手教你用SSH和WinSCP搞定Vcenter 6.5证书过期（含上传脚本报错解决）

article 2026/4/19 6:16:38

VCSA 6.5证书更新全流程实战指南从SSH连接到服务恢复当你发现vSphere Web Client突然无法登录控制台弹出证书过期警告时这意味着VCSA 6.5的核心安全凭证已失效。不同于常规服务重启证书更新需要一套完整的操作链——从建立SSH连接、上传修复工具到执行多阶段证书替换。本文将用真实环境测试验证的步骤带你穿透整个过程。1. 建立稳定运维通道SSH与Shell环境配置在证书失效的情况下Web界面通常已不可用SSH成为唯一的救命稻草。但直接连接可能会遇到两个障碍默认的Appliance Shell功能受限以及密码策略导致的认证失败。1.1 突破受限Shell环境VCSA 6.5默认使用Appliance Shell这个精简环境会限制许多必要命令的执行。切换到完整Bash Shell是首要操作# 检查当前Shell类型 echo $SHELL # 切换至Bash Shell chsh -s /bin/bash root重要提示完成所有操作后务必执行chsh -s /bin/appliancesh root切回默认Shell这是VMware官方建议的安全实践。1.2 密码重置与连接优化如果遇到密码过期问题使用vdcadmintool重置是最快解决方案/usr/lib/vmware-vmdir/bin/vdcadmintool在交互界面中选择选项3输入administratorvsphere.local作为UPN系统将生成临时密码。建议立即通过vSphere Client修改为符合复杂度要求的永久密码。针对WinSCP连接超时问题Host is not communicating错误可尝试以下调整在WinSCP会话选项中关闭优化连接缓冲区大小协议选择SCP而非SFTP高级设置中将保持活动信号间隔设为30秒2. 证书诊断与修复工具部署证书问题往往不是孤立事件需要系统化诊断。通过vecs-cli可以全面扫描证书存储状态for store in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo $store /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $store --text | grep -E Alias|Not After done典型输出会显示多个存储库SSL、MACHINE、VPXD等的证书过期情况。记录所有过期证书的Alias名称后续步骤需要这些信息。2.1 修复脚本部署技巧从VMware KB下载的修复脚本checksts.py和fixsts.sh需要通过WinSCP上传。推荐使用/tmp目录作为中转站# 设置脚本权限 chmod x /tmp/{checksts.py,fixsts.sh} # 移动到合适位置 mv /tmp/{checksts.py,fixsts.sh} /root/如果遇到文件传输中断可以尝试分块压缩上传# 本地拆分压缩 split -b 10M fixsts.sh fixsts.sh.part. # 服务器端合并 cat fixsts.sh.part.* fixsts.sh3. 分阶段证书更新策略证书更新必须遵循特定顺序否则可能导致服务启动失败。正确的流程应该是STS证书→机器证书→服务证书。3.1 优先处理STS证书STSSecurity Token Service证书是认证基础必须最先修复./checksts.py # 验证STS状态 ./fixsts.sh # 执行修复完成后立即验证时间同步状态这是SSO服务的常见故障点# 检查NTP同步状态 /usr/bin/ntpq -p # 强制时间同步 /usr/sbin/ntpdate -u pool.ntp.org3.2 全面证书更新操作通过certificate-manager执行完整更新/usr/lib/vmware-vmca/bin/certificate-manager选择选项8进入证书替换流程关键参数配置建议参数项推荐值注意事项HostnameVCSA完全限定域名必须与DNS记录一致VMCA Name同HostnameIP部署时使用IP地址证书有效期730天默认不建议超过默认值4. 服务恢复与验证证书更新后需要有序重启服务直接使用--start --all可能导致依赖问题# 分阶段停止服务 service-control --stop vmware-vpxd service-control --stop vmware-sts-idmd # 按依赖顺序启动 service-control --start vmware-sts-idmd service-control --start vmware-vpxd service-control --start vmware-vapi-endpoint验证服务状态的正确方法# 检查关键服务状态 service-control --status vmware-sts-idmd service-control --status vmware-vpxd # 查看证书生效情况 /usr/lib/vmware-vmafd/bin/vecs-cli entry getcert --store MACHINE --alias __MACHINE_CERT5. 后期维护与问题排查证书更新后会产生备份存储BACKUP_STORE建议在稳定运行24小时后清理# 列出备份证书 /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store BACKUP_STORE # 安全删除示例 /usr/lib/vmware-vmafd/bin/vecs-cli entry delete \ --store BACKUP_STORE \ --alias bkp___MACHINE_CERT \ -y日志分析是排查问题的关键重点关注以下日志文件/var/log/vmware/vmcad/certificate-manager.log证书操作详细记录/var/log/vmware/vpxd/vpxd.logvCenter核心服务日志/var/log/vmware/sso/ssoAdminServer.log认证服务日志当遇到服务无法启动时可尝试重建STS配置export JAVA_BIN/usr/java/jre-vmware/bin/java export CLASSPATH/opt/vmware/lib64/*:/usr/lib/vmware-sso/commonlib/* $JAVA_BIN -cp $CLASSPATH com.vmware.identity.installer.STSInstaller \ --install \ --root-cert-path /etc/vmware-sso/keys/ssoserverRoot.crt \ --cert-path /etc/vmware-sso/keys/ssoserverSign.crt \ --private-key-path /etc/vmware-sso/keys/ssoserverSign.key这套流程在三个不同环境的VCSA 6.5上验证通过最复杂的案例涉及同时过期的六种证书。关键点在于严格按照顺序操作并在每个阶段后验证结果。某次生产环境修复中我们发现NTP服务偏差超过5分钟导致SSO异常调整时间同步后问题迎刃而解。

手把手教你用SSH和WinSCP搞定Vcenter 6.5证书过期（含上传脚本报错解决）

相关文章：

手把手教你用SSH和WinSCP搞定Vcenter 6.5证书过期（含上传脚本报错解决）

SITS2026 AI安全扫描实战手册（含LLM生成代码专项检测模型v2.3）

虚数织就的螺旋：宇宙的本质是空间与物质的运动史诗

智能代码生成与发布管理全链路拆解，从Prompt工程到灰度发布SOP落地实操

【2026奇点智能技术大会权威解码】：AI代码摘要的5大工业级落地陷阱与3个月速成实践路径

【SITS2026权威指南】：AI代码变更影响分析的5大误判陷阱与3步精准评估法

AGI能真正“原创”吗？：基于172项实验的创造性能力量化评估白皮书

全球仅7家机构掌握的超级智能触发判据（AGI阶段不可见，但已悄然启动）

AGI vs 大模型：7项可验证能力指标全对比，第4项直接暴露LLM无法突破的逻辑天花板

提交的艺术：编写清晰、规范、有意义的Commit Message

实战复盘：从开源项目案例中学习审查精髓

19.从单篇论文问答到多论文比较：今天用 Dify 做了一次 RAG 工作流实践

ARMv8-A架构SPE统计性能分析技术详解

HeyGem数字人视频生成系统性能优化建议：如何加快视频生成速度

SolidJS 与响应式状态管理的极致融合：构建高性能前端应用的新范式在现代前端开发中

忍者像素绘卷惊艳案例：尾兽化鸣人×16色限定调色板高饱和度表现

中频电炉倾倒机械系统设计(说明书+CAD+SolidWorks)

Qwen3-TTS快速体验：无需复杂配置，开箱即用语音克隆

终极解决方案：Fast-GitHub插件如何彻底解决国内GitHub访问延迟问题

抖音内容批量下载工具终极指南：从零到精通的完整解决方案

Driver Store Explorer终极指南：3步快速清理Windows驱动，释放宝贵磁盘空间

万象熔炉 | Anything XL性能实测：RTX 4070显卡跑满SDXL的完整配置

SOONet惊艳效果集：8个高难度查询（含否定、时序逻辑、多对象交互）结果展示

如何快速上手R3nzSkin：英雄联盟内存级换肤工具的终极实战指南

千问3.5-9B与Claude对比评测：开源与闭源模型的抉择

Pixel Aurora Engine步骤详解：从Docker拉取到生成首张像素图全过程

Cosmos-Reason1-7B详细步骤：从/root/cosmos-reason-webui目录开始的定制化配置

Z-Image-Turbo快速上手：无需下载模型，Gradio界面5分钟开启AI绘画之旅

千问3.5-2B软件测试用例智能生成与缺陷报告分析

lite-avatar形象库效果展示：医生数字人在医学术语问答中的专业表达能力