Si alguna vez al acceder a la IP de tu vCenter https://xxx.xxx.xxx.xxx:5480 te encuentras con un mensaje de certificado expirado como este
tienes que regenerar el certificado vía ssh o directamente en la consola de la maquina virtual. Esto suele ocurrir cada 2 años.
¿Por qué ocurre esto?
vCenter genera sus propios certificados SSL internos con una validez de 2 años. Cuando caducan, el servicio de gestión (applmgmt) y otros servicios críticos dejan de funcionar correctamente porque no pueden validar las conexiones SSL entre ellos.
Paso 1 — Conéctate al VCSA por SSH o consola
Opción A: SSH (recomendado)
Conéctate desde tu PC con:
ssh root@<IP-del-VCSA>Si el SSH está desactivado (puede pasar si el VAMI no arranca), actívalo desde la consola de la VM en ESXi:
- Abre la consola de la VM desde la interfaz web de ESXi
- Si ves una pantalla azul de VMware, pulsa ALT+F1 para ir a la línea de comandos
- Entra con
rooty tu contraseña - Escribe
shellpara entrar en bash - Ejecuta:
bash
systemctl unmask sshd
systemctl start sshdAhora ya puedes conectarte por SSH desde tu PC.
Opción B: Consola directa desde ESXi
- Accede a
https://<IP-del-ESXi>con tu navegador - Localiza la VM del VCSA en el inventario
- Haz clic → Consola → Abrir consola del navegador
- Pulsa ALT+F1 si ves pantalla azul
- Entra con
rooty tu contraseña - Escribe
shellpara entrar en bash
Paso 2 — Verifica que el certificado está caducado
Una vez dentro por SSH ejecuta:
bash
/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store MACHINE_SSL_CERT --text 2>/dev/null | grep "Not After"Si la fecha que muestra es anterior a hoy, el certificado está caducado. Ejemplo:
Not After : Feb 17 07:00:17 2026 GMTPaso 3 — Arranca los servicios mínimos necesarios
Antes de regenerar el certificado necesitas que algunos servicios estén corriendo:
bash
service-control --start vmafdd
service-control --start vmdird
service-control --start vmcadPaso 4 — Regenera el certificado con certificate-manager
Lanza la herramienta de gestión de certificados:
bash
/usr/lib/vmware-vmca/bin/certificate-managerAparecerá un menú. Elige la opción 4:
4. Regenerate a new VMCA Root Certificate and replace all certificatesResponde a las preguntas así:
- Do you wish to generate all certificates using configuration file? →
n - Enter username →
[email protected] - Enter password → tu contraseña del vCenter
- Do you wish to reconfigure? →
y(si aparece esta pregunta)
A continuación te pedirá los datos del certificado. Rellena con tus datos reales:
| Campo | Valor de ejemplo |
|---|---|
| Country | ES |
| Name | vcenter |
| Organization | VMware |
| OrgUnit | (dejar vacío, pulsa Enter) |
| State | Castilla y Leon |
| Locality | Ponferrada |
| IPAddress | 172.18.1.38 ← tu IP del VCSA |
[email protected] | |
| Hostname | 172.18.1.38 ← tu IP del VCSA |
| VMCA Name | vmca |
Importante: En el campo Hostname pon la IP de tu VCSA (igual que en IPAddress). Si tu vCenter no tiene FQDN configurado y siempre has accedido por IP, usa la IP directamente.
Cuando pregunte Continue operation [Y/N]? responde Y.
Paso 5 — Espera a que termine (¡no lo interrumpas!)
El proceso tardará entre 10 y 20 minutos. Verás que avanza por porcentajes:
Status : 35% Completed [Replacing Machine SSL Cert...]
Status : 60% Completed [Replace vpxd-extension Cert...]
Status : 85% Completed [starting services...]
Status : 100% Completed [All tasks completed successfully]Es normal que aparezcan errores intermedios del tipo Command Failed!! en algunos pasos secundarios. No interrumpas el proceso, deja que llegue al 100%.
Paso 6 — Arranca todos los servicios
Una vez terminado el certificate-manager, arranca todos los servicios:
bash
service-control --start --allEspera a que termine y verifica el estado:
bash
service-control --status 2>&1 | tail -30Paso 7 — Verifica que el certificado nuevo es válido
bash
/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store MACHINE_SSL_CERT --text 2>/dev/null | grep "Not After"Ahora debería mostrar una fecha futura, aproximadamente 2 años desde hoy.
Paso 8 — Accede de nuevo al vCenter
Prueba a abrir en el navegador:
- Panel de administración (VAMI):
https://<IP-del-VCSA>:5480 - Interfaz de gestión:
https://<IP-del-VCSA>/ui
Si todo ha ido bien, deberías poder entrar sin errores de certificado.
Consejos adicionales
Para que la contraseña de root no caduque nunca (evita sorpresas al conectarte):
bash
chage -M 99999 rootPara verificar cuándo caduca la contraseña de root:
bash
chage -l rootPara evitar que el SSH se desactive en el futuro, actívalo desde el VAMI en Access → Enable SSH una vez que el vCenter esté funcionando.
