vcenter6.7 运行身份验证错误，返回登录屏幕 STS证书到期

环境：vmware6.7，windows版vcenter

问题描述：今天在web端打开vcenter管理页面，用户名密码确认没有出错的前提下，一直提示“”，重启vcenter之后，web页面直接报503.

排查过程：在网上找了一下，提示可能是sts证书到期了。查看日志 vpxd-svcs.log(默认路径在C:\ProgramData\VMware\VMware VirtualCenter\Logs\vpxd-svcs/,ProgramData默认是个隐藏文件夹，需要在文件夹选项打开显示隐藏功能)，有相关报错

ERROR com.vmware.vim.sso.client.impl.SecurityTokenServiceImpl$RequestResponseProcessor o pId=] Server rejected the provided time range. Cause:ns0:InvalidTimeRange: The token authority rejected an issue request for

在以下情况下，STS 签名证书的预期生命周期约为 2 年。

注意：

• 并非所有 6.5 U2 或更高版本，仅限 6.5 版产品线上的 6.5 U2 或更高版本。
• 从 U2 或更高版本（仅限 6.5 产品线）开始，全新安装 PSC/vCenter Server 6.5。
• 全新安装 PSC/vCenter Server 6.5 U2 或任何更高的 6.5 版本，并升级到更高版本（包括 6.7 和 7.0）。
• 安装 PSC 或 vCenter Server 后，使用 certool 替换了 STS 签名证书。
• STS 签名证书替换为了自定义证书（内部/外部 CA 签名证书）。
  • 我的这个集群是之前全新安装的6.7，到昨天刚好就2年了。

解决方案：
官方给出的解决方案是下载相关的脚本进行修复。

脚本地址：
A）fixsts.sh：
wget https://kb.vmware.com/sfc/servlet.shepherd/version/download/068f400000JAn50AAD2
B）
wget https://kb.vmware.com/sfc/servlet.shepherd/version/download/068f400000HW9InAAL9

运行脚本的风险：这个脚本将影响VMDIR数据库，且只能一个SSo域内运行一次，在运行脚本之前，务必对vCenter Server和PSC Server 做离线快照；执行有问题后恢复快照，重新执行。

1）下载 "fixsts.sh"后，上传到vCenter/PSC Server上的临时目录/tmp下，赋予执行权限：
chmod +x fixsts.sh && ./fixsts.sh

2）脚本执行完成后，在vc和PSC上重启所有服务：
service-control --stop --all
3）重启vCenter/PSC Server
4）验证：
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep “Alias|Not After”; done

但脚本地址一直下载失败，去官网也找不到相关的脚本，并且我的vcenter是windows版本的，脚本看着也不一定好使。

最后还是决定重建vcenter。剩下的就简单了，安装sql server数据库（内嵌数据库官方说法是支持的集群主机有限，具体也没有尝试过），配置数据库（odbc）。安装vcenter软件，导入license。添加esxi主机到集群当中。创建流程可以参考网上的一些说明。至此，vcenter创建完成。

感谢&参考：https://blog.csdn.net/ximenjianxue/article/details/108329281

https://blog.51cto.com/u_14867519/4002570

原文地址：http://www.cnblogs.com/wa-zz/p/16888619.html