vCenter无法登录 | 需要用户名和密码 | User name and password are required

vCenter无法登录”需要用户名和密码“ ”User name and password are required"

症状:

  • vCenter登录失败
  • vCenter网页界面明明输入了SSO账号administrator@vsphere.local和密码,但是还是提示“需要用户名和密码
  • 英文版的错误为:“User name and password are required
  • 没有过期的常规证书如SSL,和VCSA没有硬盘空间不足的情况,参考:https://vmlib.com/vcsa-commands

先说结论,大几率是因为STS服务的证书过期

vCenter STS是什么

vCenter STS的中文为”安全令牌服务“。vCenter 的安全令牌服务 (STS) 是负责签发、验证和更新安全令牌的重要服务,尤其在单点登录 (SSO) 环境中。STS 通过生成并签署安全断言标记语言 (SAML) 令牌来确保 vSphere 服务之间的安全通信。这些令牌用于认证用户和服务,确保它们在 vSphere 基础架构内安全地交互。

STS 签名证书的作用是用于对这些 SAML 令牌进行签名。默认情况下,这个证书是由 VMware 证书颁发机构 (VMCA) 管理的,有较长的有效期。通常,用户不需要替换 STS 签名证书,因为它并不用于外部通信。然而,如果公司的安全策略要求,或证书过期时,管理员可以通过 vSphere Web Client 或 API 来手动更新或替换该证书。

如果STS签名证书过期,就会出现上述问题,无法登录vCenter并报错”需要用户名和密码“或”User name and password are required“

如何验证STS证书是否过期?

一般来说,可以正常登录的情况下,vCenter vSphere Client的GUI就可以看到

具体位置在vCenter点击菜单 – 管理Administration – 证书管理Certificate Management

但是我们现在登陆不到的状态下,只能通过VMware官方的checksts.py脚本检查。

https://knowledge.broadcom.com/external/article?legacyId=79248(Checking Expiration of STS Certificate on vCenter Servers)

注意:STS证书的状态不能通过常规检查SSL证书的命令查看,见https://vmlib.com/vcsa-commands的“for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list –store $i –text | egrep “Alias|Not After”; done

只能通过VMware官方的checksts.py脚本检查,具体步骤和截图为:

  1. 拉到文章底部,下载checksts.py脚本
  2. 将脚本上传至VCSA的/tmp目录
  3. cd 到脚本目录
  4. 执行脚本#python checksts.py
  5. 当见到下列字句时,证明STS证书已经过期 “You have expired STS certificates”

如何更新STS证书

很简单,VMware官方也有做好的脚本去更新STS证书:

https://knowledge.broadcom.com/external/article?legacyId=76719 (文章名字”Signing certificate is not valid” error in vCenter Server Appliance)

更新STS证书的具体步骤:

  1. 同样去到上面的KB文章,拉到文章底部,下载fixsts.sh脚本
  2. 上传fixsts.sh脚本到VCSA的/tmp目录
  3. 这次是shell脚本,所以要添加执行权限#chmod +x fixsts.sh
  4. 执行脚本#./fixsts.sh,输入administrator@vsphere.local密码
  5. 执行完毕后,会见到类似下面的提示

成功更新STS证书后,按照提示需要重启VCSA全部服务:

  • #service-control –stop –all && service-control –start –all

大概等10-20分钟全部服务重启后,重新刷新浏览器就可以成功登录vCenter了

注意:如果vCenter是设置了Linked Mode,其他节点的服务也需要重启一下。

有VM问题需要协助?

免费试用VMware技术助理(已接Deepseek)!即时解答VM难题

→ 🤖VM技术助理

解析和诊断各类vCenter错误,ESXi日志,虚拟机vmware.log

→ 📕VMware日志分析器

图书推介 - 京东自营

24小时热门

还有更多VMware问题?

免费试下我们的VMware技术助理(已接Deepseek)!即时解答VM难题 → 🤖VM技术助理

试试 📕VMware日志分析器 免费诊断各类vCenter错误,ESXi日志,虚拟机vmware.log等等

########

扫码加入VM资源共享交流微信群(请备注加群

需要协助?或者只是想技术交流一下,直接联系我们!

推荐更多

VMware vSAN主机停机维护流程
运维必备

VMware vSAN主机停机维护流程

VMware vSAN 主机停机维护完整流程解析:从虚拟机受影响检查、数据迁移预检查,到设置数据重构延迟、维护模式操作与组件状态确认,帮助管理员安全执行 vSAN 集群的 ESXi 主机维护,避免虚拟机中断与数据风险。

vSphere 7 停止支持(EOS)全解析:影响、时间线与升级建议
VMware快速入门

vSphere 7 停止支持(EOS)全解析:影响、时间线与升级建议

自 2025 年 10 月 2 日起,VMware vSphere 7 将正式进入 End of Service(EOS,停止支持) 阶段,这意味着 vSphere 7、vSAN 7 以及 vCenter 7.0 将不再获得安全补丁、功能更新和官方技术支持。本文详细解读了 vSphere 7 EOS 的时间线、EOGS 与 EOTG 的区别、对企业 IT 环境可能带来的风险,以及应对策略,包括升级到 vSphere 8 或 vSphere 9 的建议。对于仍在使用 vSphere 7 的企业来说,现在正是规划迁移的关键时机,以确保系统安全、兼容和长期稳定运行。

VMware vSphere:如何查询ESXi支持的网卡型号?
VMware快速入门

VMware vSphere:如何查询ESXi支持的网卡型号?

本文介绍了如何使用 博通兼容性指南 查询 VMware ESXi 支持的网卡型号,并说明了筛选版本、品牌、驱动和固件要求的步骤。通过提前进行 ESXi 网卡兼容性检查,可以避免因硬件不兼容导致的安装或运行问题,确保 vSphere 环境的稳定性和可靠性。

系统维护报告怎么写?核心结构与模板范文(附免费工具)
运维必备

系统维护报告怎么写?核心结构与模板范文(附免费工具)

本文为企业IT部门、系统运维团队、网络工程师以及政企信息化项目,提供了系统维护报告怎么写的详细指南,并附带多份系统维护报告范文。内容涵盖预防性维护、紧急维护、安全漏洞修复、网络调试与配置等场景,帮助读者快速掌握系统维护报告模板、写作规范、注意事项,提升系统稳定性与运维合规性。

//otieu.com/4/9119499