问题介绍
如果vCenter无法验证ESXi上的证书,而这时你去添加这个ESXi进去vCenter的时候,会添加失败,并会在任务栏上显示如下错误信息提示:
A general system error occurred: Failed to verify certificate on <ESXi-FQDN-or-IP>.
When ESXi Certificate Mode is set to custom it is mandatory to install valid certificate on ESXi host before adding the host to VC如果vCenter设置了语言是中文的话,错误可能是:
发生一般系统错误:未能验证<ESXi-FQDN-or-IP>上的证书。
当ESXi证书模式设置为custom时,必须在将ESXi主机添加至vCenter之前,在ESXi主机上安装有效的证书。问题原因
证书链断裂,也就是说证书之间的信任关系不完整。所以无法加进去vCenter.
解决方案
- 将 ESXi 主机置于维护模式
怎么进入维护模式教程:https://vmlib.com/esxi-maintenance-mode-steps - 备份当前使用的 SSL 证书
mv /etc/vmware/ssl/rui.crt /etc/vmware/ssl/rui.crt.bakmv /etc/vmware/ssl/rui.key /etc/vmware/ssl/rui.key.bak
- 重新生成 SSL 证书
/sbin/generate-certificates
- 重启服务以使新证书生效
运行下面的命令,重启服务:/bin/services.sh restart- 重启完毕后,ESXi 的证书就会变成自签名证书。
- 可以打开浏览器,访问 “ESXi Host Client” >> “Host” >> “Manage” >> “Security&users” >> “Certificates” 来确认证书是否更新成功。
- 退出维护模式
确认无误后,退出维护模式。 - 重新将ESXi添加到vCenter
这时候再添加ESXi到vCenter,应该就能顺利完成了。
附加信息 – 如果要恢复之前的SSL步骤
如果需要恢复到之前的 SSL 证书,可以按照以下步骤操作:
- 将 ESXi 主机置于维护模式
同样,先把主机置于维护模式。https://vmlib.com/esxi-maintenance-mode-steps - 用之前的证书覆盖新证书
在终端执行以下命令:mv rui.crt.bak rui.crtmv rui.key.bak rui.key
- 重启服务以使旧证书生效
运行命令:/bin/services.sh restart- 重启之后,证书将恢复为之前的状态。
- 再次打开浏览器,进入 “ESXi Host Client” >> “Host” >> “Manage” >> “Security&users” >> “Certificates” 检查更改是否成功。
- 退出维护模式
最后,退出维护模式即可。
总结一下
解决“ESXi添加到vCenter证书验证失败”的方法主要包括以下几个步骤:首先,将 ESXi 主机置于维护模式;其次,备份现有 SSL 证书;接着,重新生成证书,并重启相关服务;最后退出维护模式,再次添加主机到 vCenter。通过这些操作,可以有效修复 ESXi 主机与 vCenter 之间的证书验证问题,避免“ESXi添加到vCenter证书验证失败”对管理和维护带来的困扰。相信只要按步骤操作,问题就能迎刃而解。
参考官网KB
https://knowledge.broadcom.com/external/article?articleNumber=389767
VM技术助理
