Buenas chic@s! Hoy vengo con unos nuevo post sobre como resolver un problema con el certificado de ” STS Machine SSL cert”. Este certificado te puede dar mucho dolor de cabeza, como que no te funcione el servicio de vCenter, o que en el navegador te de errores de certificado. Si tienes algún problema con este certificado o los síntomas que hemos comentado, quizá este post te pueda servir de ayuda.
Introducción
En este caso, yo no me di cuenta que me había caducado el certificado, ya que todas los despliegues que he hecho de los vCenter, todos ellos tenían unos certificados de larga duración. Por lo tanto me sorprendió bastante cuando me encontré con errores de certificado en el propio navegador, cuando ya tenia metida la CA del vCenter dentro las entidades de raíz de confianza de mi equipo.
Entre los errores nos podemos encontrar los siguentes:
- El servicio “vmware-vxpd” no arranca
- Errores en el navegador de “Certificado no es valido”
- Dentro del log “var/log/vmware/vpxd-svcs/vpxd-svcs.log”, podemos encontra la siguente cadena de texto
ERROR com.vmware.vim.sso.client.impl.SecurityTokenServiceImpl$RequestResponseProcessor opId=] Server rejected the provided time range. Cause:ns0:InvalidTimeRange: The token authority rejected an issue request for TimePeriod [startTime=Thu Jan 02 09:22:13 EST 2020, endTime=Fri Jan 03 09:22:13 EST 2020] :: Signing certificate is not valid at Thu Jan 02 09:22:13 EST 2020, cert validity: TimePeriod [startTime=Wed Jan 06 20:44:39 EST 2010, endTime=Wed Jan 01 20:54:23 EST 2020]
En mi caso me fui directo a ver el estado del certificado el cual estaba expirado desde el 2 de abril de 2023, por lo tanto de ahí en adelante todo empezó a fallar.
Si no vamos a comprobar los servicios de vCenter, podremos ver entre otros como el servicio principal del vCenter no ha arrancado ” vmware-vpxd”, por lo tanto podemos confirmar que estábamos en un buen problema.
Si lanzamos la siguiente sintaxis de comando que tenemos abajo, nos devolverá la caducidad de todos los certificados. En mi caso por suerte solo tengo un certificado caducado, con lo cual simplifica bastante las cosas, luego abordaremos el porque simplifica.
for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; sudo /usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | egrep "Alias|Not After"; done
Al solo tener caducado el certificado de STS(Machine SSL cert), bastare con realizar el siguiente procedimiento.
Antes de hacer nada, seria conveniente realizar un backup de nuestro vCenter o realizar un snapshot en apagado, para tener una posible vuelta atras.
Lo primero que tenemos que hacer, es descargar el script “fixsts.sh”, que lo podréis descarga desde aqui. Una vez lo hayamos descargado lo tendremos que subir a nuestro vCenter, y asignarle permisos de ejecución con el comando “chmod”.
chmod +x fixsts.sh
Una vez le hayamos asignado permisos, lo lanzaremos y nos pedirá nuestra clave de “administrator” de nuestro SSO.
Una vez introducida veremos como comienza a generar el nuevo certificado de “STS(Machine SSL cert)”.
Ahora debemos reiniciar todos los servicios de nuestro vCenter, para ellos lanzamos los siguientes comandos
- service-control –stop –all –> Para todos los servicios
- service-control –start –all –> Arranca todos los servicios( no lanzar antes que terminen de pararse todos los servicios)
Una vez tenemos todos los servicios iniciados, volvemos a lanzar el comando para ver el estado de los certificados, y como podemos comprobar hasta 11 del mayo de 2025 ya no tenemos que preocuparnos.
Si ahora accedemos a nuestro cliente HTML5 y comprobamos el certificado, veremos como se refleja la fecha que hemos comentado.
No me gustaría irme sin mencionar que si tu certificado esta pronto a caducar, bastaría con ir a la parte de “Administration” –> Certificates y seleccionar el certificado que esta a punto de caducar y darle ” Renew”, de esta manera se nos renovaría de una forma sencilla. Lo tendré en cuenta para dentro de 2 años 🙂
Por ultimo me gustaría comentar que si tienes problemas con el resto de certificados, te recomiendo que le eches un vistazo al siguiente KB de VMware. El proceso tambien es bastante sencillo, e intuitivo.
Conclusión
Espero que os haya gustado y os sirva para solucionar vuestros problemas, siempre que sale el tema de los certificados creo que todos nos echamos las manos a la cabeza, pero en este caso la solución ha sido sencilla. Un saludo y hasta la proxima.
