文章目录
- 当vCenter的MACHINE证书过期、Root密码过期、权限SSO User密码与Root密码遗忘同时发生时的解决方法与步骤
- 1. 强制修改Root密码
- 2. 强制重新生成权限SSO User的密码
- 3、解决证书过期的问题
当vCenter的MACHINE证书过期、Root密码过期、权限SSO User密码与Root密码遗忘同时发生时的解决方法与步骤
注意:以下均以VCSA 7.x进行说明,其余情形请参阅官方知识库与指引说明
证书过期的具体问题的表现:
https://FQDN-vCenter/ 页面提示500
VAMI登录时提示SSL相关异常
Root密码过期、被锁定或者遗忘的表现:
ssh root@FQND-vCenter时确定输入的一定是正确密码,但就是登录不上
1. 强制修改Root密码
首先,挨个登录ESXi服务器,找到这个vCenter的虚机,如果是实体vCenter则跳过此步骤
接着,重启vCenter,在启动画面中按e,进入配置项
接着,修改linux xxx consoleblank=0这行,在末尾加上 rw init=/bin/bash,按Ctrl+x或者F10继续引导,如图所示:
输入如下命令行:
mount -o remount,rw /
pam_tally2 --user=root --reset
#For 8.0 U2 onwards:
/usr/sbin/faillock --user root --reset
#Note: pam_tally2 is deprecated in Photon 4, use faillock instead.
passwd
#输入新密码
umount /
reboot -f
具体参照链接:Resetting root password in vCenter Server Appliance 6.5 / 6.7 / 7.x / 8.x (2147144)
如此即可完成root密码找回,以及同步解决root密码过期的问题
2. 强制重新生成权限SSO User的密码
SSO User,例如默认的:Administrator@vsphere.local,
首先通过ssh工具,以root用户登录vCenter,后输入指令:shell shell.set --enable true,开启bash shell功能
接着输入指令:/usr/lib/vmware-vmdir/bin/vdcadmintool
如图所示:
接着输入3,重置指定帐号的密码
输入完整的帐号,包括@以及后面的字符,之后会生成一个很复杂的密码,建议之后通过复制粘贴来进行密码输入
此时暂时缓解权限SSO User用户密码的问题,之后的操作需要权限SSO User才能进行,因此将此操作放在这个顺序上
修改SSO User密码之后进行
参考链接 How to unlock and reset SSO password in vSphere 6.x/7.x using the vdcadmintool (2146224)
3、解决证书过期的问题
命令行:
for store in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list | grep -v TRUSTED_ROOT_CRLS); do echo "[*] Store :" $store; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $store --text | grep -ie "Alias" -ie "Not After";done;
可以用于列出查看当前所有相关的证书,比对当前时间是否晚于Not After,如果是,则发生了证书过期
各个不同种类的证书说明如图所示:
相关链接为:Verify and resolve expired vCenter Server certificates using command line (82332)
命令行 /usr/lib/vmware-vmca/bin/certificate-manager可以进入证书管理工具,
其一为导入自签证书
其二为导入自定义VMCA证书
其三为通过VMCA签发新的证书
具体说明可参照:将 vSphere 6.x/7.x 计算机 SSL 证书替换为证书颁发机构签名的自定义证书 (2112277)
其他相关链接为:
如何使用 vSphere Certificate Manager 替换 SSL 证书 (2097936)
Certificate Requirements for Different Solution Paths
“Operation failed, performing automatic rollback” error when Certificate Manager fails at 0% replacing certificates (2111571)
“Signing certificate is not valid” error in VCSA 6.5.x,6.7.x or vCenter Server 7.0.x ,8.0.x. (76719)
Using the ‘lsdoctor’ Tool (80469)
