Hensen&IT筆記

VMware vCenter 憑證更新維運 SOP（使用內建 VMCA 自動產生憑證）

碰到
更新憑證時發生非預期錯誤: Exception found (Invalid input certificate : DNS in Subject Alternative Name is not correct. DNS Name must contain machine FQDN.)

整理以下注意事項，可按照以下步驟去執行

一、適用對象

• 使用 VMware vCenter Server Appliance (VCSA) 7.x / 8.x

• 需要更新 Machine SSL 憑證（提供 UI 與 API 加密連線）

• 採用內建 VMCA 產生憑證（非第三方 CA）

二、更新前準備

1. 確認登入權限：需使用 vCenter SSO 帳號 administrator@vsphere.local

2. 確認 vCenter 網域與 FQDN 設定正確（使用 hostname -f 確認）

3. 建議執行時間：非上班尖峰時段，避免 UI 中斷影響使用者操作

4. 備份建議：可先建立 vCenter Snapshot 或備份組態資料

三、操作步驟

步驟 1：SSH 登入 vCenter Appliance

• 使用 SSH 工具（如 PuTTY）連線至 vCenter IP 或主機名稱

• 登入後輸入以下指令以啟用 shell：

shell

步驟 2：啟動憑證管理工具

/usr/lib/vmware-vmca/bin/certificate-manager

步驟 3：選擇更新 Machine SSL 憑證

• 畫面會出現以下選單（版本略有不同）：

1. Replace Machine SSL certificate with Custom Certificate
2. Replace Solution User certificates with Custom Certificate
3. Replace Machine SSL certificate with VMCA Certificate
4. Replace Solution User certificates with VMCA Certificate
5. Replace all certificates with Custom Certificates
6. Replace all certificates with VMCA Certificates
7. Exit

• 請選擇：3. Replace Machine SSL certificate with VMCA Certificate

步驟 4：依提示輸入資訊

系統會依序提示以下內容：

1. 是否繼續操作：輸入 Y

2. 輸入 SSO 帳號：administrator@vsphere.local

3. 輸入密碼：輸入後按 Enter

系統將開始：

• 自動產生 SSL 憑證（含 SAN 與 FQDN）

• 自動套用憑證

• 自動重啟相關服務（vpxd、vsphere-ui、sts 等）

四、更新後驗證

方法一：透過 vSphere Client 檢查憑證資訊

• 開啟瀏覽器 → 登入 vSphere Client

• 點選左側「管理」→「憑證」→ 查看 Machine SSL Certificate 有效期是否更新

方法二：使用 openssl 測試（可選）

openssl s_client -connect <vcenter_fqdn>:443

檢查憑證內容是否更新，且包含 FQDN。

五、常見問題與排解

六、補充建議

• 若需同時更新 Solution User 憑證，可選擇 6. Replace all certificates with VMCA Certificates

• 若 vCenter 已整合 Microsoft AD SSO，需確保憑證主機名與 DNS 設定一致

• 若需手動產生 CSR 提供 CA 簽署，請改用 certool

如需日後自動化更新或通知憑證即將過期，可配合 shell script 與 crontab 排程工具進行監測與提示。