当vCenter的证书过期、Root密码过期、Root密码遗忘同时发生时的解决方法与步骤

文章目录

• [当vCenter的MACHINE证书过期、Root密码过期、权限SSO User密码与Root密码遗忘同时发生时的解决方法与步骤](#当vCenter的MACHINE证书过期、Root密码过期、权限SSO User密码与Root密码遗忘同时发生时的解决方法与步骤)
• • [1. 强制修改Root密码](#1. 强制修改Root密码)
  • [2. 强制重新生成权限SSO User的密码](#2. 强制重新生成权限SSO User的密码)
  • 3、解决证书过期的问题

当vCenter的MACHINE证书过期、Root密码过期、权限SSO User密码与Root密码遗忘同时发生时的解决方法与步骤

---

注意：以下均以VCSA 7.x进行说明，其余情形请参阅官方知识库与指引说明

---

证书过期的具体问题的表现：

https://FQDN-vCenter/ 页面提示500

VAMI登录时提示SSL相关异常
Root密码过期、被锁定或者遗忘的表现：

ssh root@FQND-vCenter时确定输入的一定是正确密码，但就是登录不上

1. 强制修改Root密码

首先，挨个登录ESXi服务器，找到这个vCenter的虚机，如果是实体vCenter则跳过此步骤

接着，重启vCenter，在启动画面中按e，进入配置项

接着，修改linux xxx consoleblank=0这行，在末尾加上 rw init=/bin/bash，按Ctrl+x或者F10继续引导，如图所示：

输入如下命令行：

mount -o remount,rw /
pam_tally2 --user=root --reset
#For 8.0 U2 onwards:
/usr/sbin/faillock --user root --reset
#Note: pam_tally2 is deprecated in Photon 4, use faillock instead.
passwd
#输入新密码
umount /
reboot -f

具体参照链接：Resetting root password in vCenter Server Appliance 6.5 / 6.7 / 7.x / 8.x (2147144)

如此即可完成root密码找回，以及同步解决root密码过期的问题

2. 强制重新生成权限SSO User的密码

SSO User，例如默认的：Administrator@vsphere.local，

首先通过ssh工具，以root用户登录vCenter，后输入指令：shell shell.set --enable true，开启bash shell功能

接着输入指令：/usr/lib/vmware-vmdir/bin/vdcadmintool

如图所示：

接着输入3，重置指定帐号的密码

输入完整的帐号，包括@以及后面的字符，之后会生成一个很复杂的密码，建议之后通过复制粘贴来进行密码输入

此时暂时缓解权限SSO User用户密码的问题，之后的操作需要权限SSO User才能进行，因此将此操作放在这个顺序上

修改SSO User密码之后进行

参考链接 How to unlock and reset SSO password in vSphere 6.x/7.x using the vdcadmintool (2146224)

3、解决证书过期的问题

命令行：

for store in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list | grep -v TRUSTED_ROOT_CRLS); do echo "[*] Store :" $store; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $store --text | grep -ie "Alias" -ie "Not After";done;

可以用于列出查看当前所有相关的证书，比对当前时间是否晚于Not After，如果是，则发生了证书过期

各个不同种类的证书说明如图所示：

相关链接为：Verify and resolve expired vCenter Server certificates using command line (82332)

命令行 /usr/lib/vmware-vmca/bin/certificate-manager可以进入证书管理工具，

其一为导入自签证书

其二为导入自定义VMCA证书

其三为通过VMCA签发新的证书

具体说明可参照：将 vSphere 6.x/7.x 计算机 SSL 证书替换为证书颁发机构签名的自定义证书 (2112277)

其他相关链接为：

如何使用 vSphere Certificate Manager 替换 SSL 证书 (2097936)
Certificate Requirements for Different Solution Paths
"Operation failed, performing automatic rollback" error when Certificate Manager fails at 0% replacing certificates (2111571)
"Signing certificate is not valid" error in VCSA 6.5.x,6.7.x or vCenter Server 7.0.x ,8.0.x. (76719)
Using the 'lsdoctor' Tool (80469)