Error SSL en la web de vCenter - Blog - Un ingeniero de teleco interneteando...

Blog – Un ingeniero de teleco interneteando…

Javier Gutierrez Abella además de profesor de tecnología, electricidad, informática…, es ingeniero de Teleco, sysadmin, maker, youtuber y en general un apasionado de la tecnología. Pásate por mi canal de YouTube y suscríbete para no perderte mi contenido.

Botón claro/oscuro

vcenter erro ssl_2

Si alguna vez al acceder a la IP de tu vCenter https://xxx.xxx.xxx.xxx:5480 te encuentras con un mensaje de certificado expirado como este

tienes que regenerar el certificado vía ssh o directamente en la consola de la maquina virtual. Esto suele ocurrir cada 2 años.

¿Por qué ocurre esto?

vCenter genera sus propios certificados SSL internos con una validez de 2 años. Cuando caducan, el servicio de gestión (applmgmt) y otros servicios críticos dejan de funcionar correctamente porque no pueden validar las conexiones SSL entre ellos.

Paso 1 — Conéctate al VCSA por SSH o consola

Opción A: SSH (recomendado)

Conéctate desde tu PC con:

ssh root@<IP-del-VCSA>

Si el SSH está desactivado (puede pasar si el VAMI no arranca), actívalo desde la consola de la VM en ESXi:

Abre la consola de la VM desde la interfaz web de ESXi
Si ves una pantalla azul de VMware, pulsa ALT+F1 para ir a la línea de comandos
Entra con root y tu contraseña
Escribe shell para entrar en bash
Ejecuta:

bash

systemctl unmask sshd
systemctl start sshd

Ahora ya puedes conectarte por SSH desde tu PC.

Opción B: Consola directa desde ESXi

Accede a https://<IP-del-ESXi> con tu navegador
Localiza la VM del VCSA en el inventario
Haz clic → Consola → Abrir consola del navegador
Pulsa ALT+F1 si ves pantalla azul
Entra con root y tu contraseña
Escribe shell para entrar en bash

Paso 2 — Verifica que el certificado está caducado

Una vez dentro por SSH ejecuta:

bash

/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store MACHINE_SSL_CERT --text 2>/dev/null | grep "Not After"

Si la fecha que muestra es anterior a hoy, el certificado está caducado. Ejemplo:

Not After : Feb 17 07:00:17 2026 GMT

Paso 3 — Arranca los servicios mínimos necesarios

Antes de regenerar el certificado necesitas que algunos servicios estén corriendo:

bash

service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad

Paso 4 — Regenera el certificado con certificate-manager

Lanza la herramienta de gestión de certificados:

bash

/usr/lib/vmware-vmca/bin/certificate-manager

Aparecerá un menú. Elige la opción 4:

4. Regenerate a new VMCA Root Certificate and replace all certificates

Responde a las preguntas así:

Do you wish to generate all certificates using configuration file? → n
Enter username → [email protected]
Enter password → tu contraseña del vCenter
Do you wish to reconfigure? → y (si aparece esta pregunta)

A continuación te pedirá los datos del certificado. Rellena con tus datos reales:

Campo	Valor de ejemplo
Country	`ES`
Name	`vcenter`
Organization	`VMware`
OrgUnit	(dejar vacío, pulsa Enter)
State	`Castilla y Leon`
Locality	`Ponferrada`
IPAddress	`172.18.1.38` ← tu IP del VCSA
Email	`[email protected]`
Hostname	`172.18.1.38` ← tu IP del VCSA
VMCA Name	`vmca`

Importante: En el campo Hostname pon la IP de tu VCSA (igual que en IPAddress). Si tu vCenter no tiene FQDN configurado y siempre has accedido por IP, usa la IP directamente.

Cuando pregunte Continue operation [Y/N]? responde Y.

Paso 5 — Espera a que termine (¡no lo interrumpas!)

El proceso tardará entre 10 y 20 minutos. Verás que avanza por porcentajes:

Status : 35% Completed [Replacing Machine SSL Cert...]
Status : 60% Completed [Replace vpxd-extension Cert...]
Status : 85% Completed [starting services...]
Status : 100% Completed [All tasks completed successfully]

Es normal que aparezcan errores intermedios del tipo Command Failed!! en algunos pasos secundarios. No interrumpas el proceso, deja que llegue al 100%.

Paso 6 — Arranca todos los servicios

Una vez terminado el certificate-manager, arranca todos los servicios:

bash

service-control --start --all

Espera a que termine y verifica el estado:

bash

service-control --status 2>&1 | tail -30

Paso 7 — Verifica que el certificado nuevo es válido

bash

/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store MACHINE_SSL_CERT --text 2>/dev/null | grep "Not After"

Ahora debería mostrar una fecha futura, aproximadamente 2 años desde hoy.

Paso 8 — Accede de nuevo al vCenter

Prueba a abrir en el navegador:

Panel de administración (VAMI): https://<IP-del-VCSA>:5480
Interfaz de gestión: https://<IP-del-VCSA>/ui

Si todo ha ido bien, deberías poder entrar sin errores de certificado.

Consejos adicionales

Para que la contraseña de root no caduque nunca (evita sorpresas al conectarte):

bash

chage -M 99999 root

Para verificar cuándo caduca la contraseña de root:

bash

chage -l root

Para evitar que el SSH se desactive en el futuro, actívalo desde el VAMI en Access → Enable SSH una vez que el vCenter esté funcionando.

Comparte esta web mediante:

Deja una respuesta Cancelar la respuesta