vSphere运维实战：深度解析STS证书管理与续订策略

在虚拟化平台运维中，证书管理往往是最容易被忽视却又可能导致严重后果的环节。特别是vSphere环境中的STS（Security Token Service）证书，其有效期问题曾让不少运维团队在凌晨接到紧急告警。不同于常规HTTPS证书，STS证书直接关系到vCenter的身份验证核心功能，一旦过期将导致整个管理平台瘫痪。

1. 理解vSphere证书体系架构

vSphere平台的证书体系远比表面看到的复杂。许多管理员只关注浏览器中显示的HTTPS证书，却忽略了底层服务的认证机制。实际上，一个完整的vCenter Server包含多达17种不同类型的证书，而STS证书正是其中最关键的组件之一。

1.1 STS证书的核心作用

STS证书是安全令牌服务的签名凭证，负责：

• 签发和验证SAML令牌
• 保障vCenter Single Sign-On(SSO)的通信安全
• 控制所有API调用的身份验证流程

当用户尝试登录vCenter时，认证流程大致如下：

bash复制用户凭证 → SSO服务 → STS签名 → 令牌返回 → 访问控制

1.2 版本差异与有效期陷阱

不同vSphere版本的证书策略存在显著差异：

关键提示：通过Web界面查看到的证书警告通常指向常规服务证书，而非STS证书。这是许多管理员误判风险的主要原因。

2. 主动检测：两种权威验证方法

等待告警出现已经为时已晚。我们推荐以下两种经过验证的检测方案，应纳入季度检查清单。

2.1 使用官方Python检测脚本

VMware官方提供的checksts.py是最可靠的检测工具，具体操作流程：

1. 从VMware知识库下载最新版脚本
2. 上传至vCenter的/tmp目录
3. 执行权限设置与运行：

bash复制chmod +x /tmp/checksts.py
python /tmp/checksts.py

典型输出示例：

code复制Checking STS certificate validity...
Not Before: Aug 15 00:00:00 2021 GMT
Not After : Aug 15 23:59:59 2023 GMT
Days Remaining: 45
Status: Certificate expires soon!

2.2 vecs-cli命令行深度检查

对于需要更多证书细节的场景，VMware的vecs-cli工具能提供证书存储级的洞察：

bash复制/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store vpxd-extension --text | grep -A5 "STS"

输出关键字段解析：

• Alias：证书标识名称
• Not Before：生效起始时间
• Not After：绝对过期时间
• Public Key：密钥算法类型

3. 续订操作：版本差异化指南

检测到即将过期的STS证书后，应根据不同版本采取针对性续订方案。

3.1 vCenter 6.5标准操作流程

1. 登录PSC管理界面（https://[PSC_IP]/psc）
2. 导航至：系统管理 → Single Sign-On → 配置
3. 在证书标签页选择"STS签名证书"
4. 点击"续订"按钮并确认操作

特别注意：在负载均衡配置的多PSC环境中，需对所有节点执行相同操作

3.2 vCenter 6.7图形界面更新

6.7版本对证书管理界面进行了重构：

1. 使用HTML5客户端登录vCenter
2. 访问：系统管理 → 证书 → 证书管理
3. 筛选"Security Token Service"类型
4. 右键选择"续订"操作

常见问题处理：

• 若续订按钮灰显，检查账户是否具有"证书管理员"权限
• 操作完成后需重启以下服务：

bash复制service-control --stop vmware-sts-idmd
service-control --start vmware-sts-idmd

4. 应急恢复：证书已过期的抢救方案

当STS证书已经过期导致无法登录时，需要采用更复杂的恢复手段。以下流程需要在vCenter主机本地执行。

4.1 修复脚本执行步骤

1. 从VMware获取专用修复工具fixsts.sh
2. 上传至vCenter主机并设置权限：

bash复制chmod +x /tmp/fixsts.sh
sed -i 's/\r$//' /tmp/fixsts.sh  # 处理Windows换行符问题

3. 执行前必须完成的准备工作：

   • 确认系统时间已校准
   • 对虚拟机创建完整快照
   • 记录当前SSO管理员凭证

4. 运行修复脚本：

bash复制./fixsts.sh

4.2 服务重启与验证

脚本执行成功后，需要按顺序重启服务：

bash复制service-control --stop --all
service-control --start --all

验证证书状态的最可靠方法：

bash复制for store in $(vecs-cli store list); do
    echo "检查存储库: $store";
    vecs-cli entry list --store $store --text | grep -E "Alias|Not After";
done

5. 构建长效防护机制

临时修复只是治标，我们需要建立系统性的防护体系。

5.1 自动化监控方案

将STS证书检查集成到现有监控平台：

python复制# 示例：Nagios插件代码片段
import ssl, socket
from datetime import datetime

cert = ssl.get_server_certificate(('vcenter.example.com', 443))
x509 = OpenSSL.crypto.load_certificate(OpenSSL.crypto.FILETYPE_PEM, cert)
exp_date = x509.get_notAfter().decode('utf-8')
days_left = (datetime.strptime(exp_date, '%Y%m%d%H%M%SZ') - datetime.now()).days

5.2 运维日历最佳实践

建议将以下节点纳入年度运维计划：

• 每季度执行一次checksts.py检测
• 证书到期前90天创建变更工单
• 到期前30天进行预演测试
• 到期前7天执行正式续订

在最近一次为客户实施的vSphere健康检查中，我们发现三套环境中有两套的STS证书剩余有效期不足60天。通过建立这种预防性维护机制，成功避免了可能影响数百台虚拟机的服务中断事故。