Error SSL en la web de vCenter - Blog - Un ingeniero de teleco interneteando...

Blog – Un ingeniero de teleco interneteando…

Javier Gutierrez Abella además de profesor de tecnología, electricidad, informática…, es ingeniero de Teleco, sysadmin, maker, youtuber y en general un apasionado de la tecnología. Pásate por mi canal de YouTube y suscríbete para no perderte mi contenido.

Botón claro/oscuro

vcenter erro ssl_2

Si alguna vez al acceder a la IP de tu vCenter https://xxx.xxx.xxx.xxx:5480 te encuentras con un mensaje de certificado expirado como este

tienes que regenerar el certificado vía ssh o directamente en la consola de la maquina virtual. Esto suele ocurrir cada 2 años.

¿Por qué ocurre esto?

vCenter genera sus propios certificados SSL internos con una validez de 2 años. Cuando caducan, el servicio de gestión (applmgmt) y otros servicios críticos dejan de funcionar correctamente porque no pueden validar las conexiones SSL entre ellos.

Paso 1 — Conéctate al VCSA por SSH o consola

Opción A: SSH (recomendado)

Conéctate desde tu PC con:

ssh root@<IP-del-VCSA>

Si el SSH está desactivado (puede pasar si el VAMI no arranca), actívalo desde la consola de la VM en ESXi:

Abre la consola de la VM desde la interfaz web de ESXi
Si ves una pantalla azul de VMware, pulsa ALT+F1 para ir a la línea de comandos
Entra con root y tu contraseña
Escribe shell para entrar en bash
Ejecuta:

bash

systemctl unmask sshd
systemctl start sshd

Ahora ya puedes conectarte por SSH desde tu PC.

Opción B: Consola directa desde ESXi

Accede a https://<IP-del-ESXi> con tu navegador
Localiza la VM del VCSA en el inventario
Haz clic → Consola → Abrir consola del navegador
Pulsa ALT+F1 si ves pantalla azul
Entra con root y tu contraseña
Escribe shell para entrar en bash

Paso 2 — Verifica que el certificado está caducado

Una vez dentro por SSH ejecuta:

bash

/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store MACHINE_SSL_CERT --text 2>/dev/null | grep "Not After"

Si la fecha que muestra es anterior a hoy, el certificado está caducado. Ejemplo:

Not After : Feb 17 07:00:17 2026 GMT

Paso 3 — Arranca los servicios mínimos necesarios

Antes de regenerar el certificado necesitas que algunos servicios estén corriendo:

bash

service-control --start vmafdd
service-control --start vmdird
service-control --start vmcad

Paso 4 — Regenera el certificado con certificate-manager

Lanza la herramienta de gestión de certificados:

bash

/usr/lib/vmware-vmca/bin/certificate-manager

Aparecerá un menú. Elige la opción 4:

4. Regenerate a new VMCA Root Certificate and replace all certificates

Responde a las preguntas así:

Do you wish to generate all certificates using configuration file? → n
Enter username → [email protected]
Enter password → tu contraseña del vCenter
Do you wish to reconfigure? → y (si aparece esta pregunta)

A continuación te pedirá los datos del certificado. Rellena con tus datos reales:

Campo	Valor de ejemplo
Country	`ES`
Name	`vcenter`
Organization	`VMware`
OrgUnit	(dejar vacío, pulsa Enter)
State	`Castilla y Leon`
Locality	`Ponferrada`
IPAddress	`172.18.1.38` ← tu IP del VCSA
Email	`[email protected]`
Hostname	`172.18.1.38` ← tu IP del VCSA
VMCA Name	`vmca`

Importante: En el campo Hostname pon la IP de tu VCSA (igual que en IPAddress). Si tu vCenter no tiene FQDN configurado y siempre has accedido por IP, usa la IP directamente.

Cuando pregunte Continue operation [Y/N]? responde Y.

Paso 5 — Espera a que termine (¡no lo interrumpas!)

El proceso tardará entre 10 y 20 minutos. Verás que avanza por porcentajes:

Status : 35% Completed [Replacing Machine SSL Cert...]
Status : 60% Completed [Replace vpxd-extension Cert...]
Status : 85% Completed [starting services...]
Status : 100% Completed [All tasks completed successfully]

Es normal que aparezcan errores intermedios del tipo Command Failed!! en algunos pasos secundarios. No interrumpas el proceso, deja que llegue al 100%.

Paso 6 — Arranca todos los servicios

Una vez terminado el certificate-manager, arranca todos los servicios:

bash

service-control --start --all

Espera a que termine y verifica el estado:

bash

service-control --status 2>&1 | tail -30

Paso 7 — Verifica que el certificado nuevo es válido

bash

/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store MACHINE_SSL_CERT --text 2>/dev/null | grep "Not After"

Ahora debería mostrar una fecha futura, aproximadamente 2 años desde hoy.

Paso 8 — Accede de nuevo al vCenter

Prueba a abrir en el navegador:

Panel de administración (VAMI): https://<IP-del-VCSA>:5480
Interfaz de gestión: https://<IP-del-VCSA>/ui

Si todo ha ido bien, deberías poder entrar sin errores de certificado.

¿Tienes Veeam Backup & Replication? Reconecta el vCenter

Después de renovar los certificados SSL de vCenter, Veeam dejará de poder conectar y los backups empezarán a fallar con un error como este:

Host 172.18.x.x is not available. Error: El certificado remoto no es válido según el procedimiento de validación.

Esto es normal, simplemente hay que decirle a Veeam que acepte el nuevo certificado. Es un proceso de 2 minutos.

Pasos para reconectar vCenter en Veeam

Abre la consola de Veeam Backup & Replication
En el panel izquierdo ve a Backup Infrastructure → Managed Servers
Haz clic derecho sobre tu vCenter (por ejemplo 172.18.2.38) → Properties…
Se abrirá el asistente Edit VMware Server. Next, Next, y nos sale la ventana de que hay un nuevo SSL que lo aceptemos An untrusted certificate is installed on 172.18.x.x and secure communication cannot be guaranteed. Connect to this server anyway? Haz clic en Continue para aceptar el nuevo certificado.

Haz clic en Next y Finish para guardar los cambios.

Consejos adicionales

Para que la contraseña de root no caduque nunca (evita sorpresas al conectarte):

bash

chage -M 99999 root

Para verificar cuándo caduca la contraseña de root:

bash

chage -l root

Para evitar que el SSH se desactive en el futuro, actívalo desde el VAMI en Access → Enable SSH una vez que el vCenter esté funcionando.

Comparte esta web mediante:

Deja una respuesta Cancelar la respuesta