При подключении к серверу VMWare vCenter с помощью браузера появляется предупреждение об использовании самоподписанного сертификата, выданного недоверенным центром сертификации. В Firefox и других браузерах это предупреждение убирается простым добавление сайта vCenter в список исключений, в Internet Explorer все несколько сложнее.
SSL сертификаты, устанавливаемые по умолчанию с серверами ESXi и vCenter являются самоподписанными, и, соответственно, другие системы не доверяют им, выдавая предупреждение или блокируя соединение с такими сайтами. Чтобы отключить предупреждение о самоподписанном сертификате, можно добавить самоподписанный сертификат в список доверенных или заменить сертификат на собственный, выданный доверенным центром сертификации. Мы рассмотрим первый вариант, процедура в общем-то достаточно тривиальная, но есть несколько не вполне очевидных моментов.
Итак, при открытии веб страницы сервера vCenter в браузере появляется окно со следующим предупреждением:
There is a problem with this website’s security certificate.
The security certificate presented by this website was not issued by a trusted certificate authority.
The security certificate presented by this website was issued for a different website’s address.
Security certificate problems may indicate an attempt to fool you or intercept any data you send to the server.
The security certificate presented by this website was not issued by a trusted certificate authority.
The security certificate presented by this website was issued for a different website’s address.
Security certificate problems may indicate an attempt to fool you or intercept any data you send to the server.
Примечание . Предупреждение The security certificate presented by this website was issued for a different website’s address выводится, т.к. в нашем случае имя хоста отличается от CN имени, для которого выписан сертификат. Чтобы это предупреждение не выводилось, в браузере нужно открывать именно FQDN имя, на которое выписан сертификат. Кстати говоря, для удобства этот сертификат можно заменить на собственный, созданный с помощью командлета New-SelfSignedCertificate , позволяющего выписывать сертификат для произвольного набора CN.
Нажав на ссылку Continue to this website link (not recommended) , можно перейти на стартовую страницу vCenter. Чтобы скачать сертификат, нажмите на ссылку Download trusted root CA certificates .
Сохраните файл в произвольный каталог. Имя файла download (у файла нет расширения).
Затем меняем расширение файла download на download . zip и распакуем его с помощью встроенного архиватора ( Extract All ).
Внутри содержимого архива cert находиться 2 файла, у одного расширение .0 , у второго . r0 . Изменим расширение файла .0 на .cer .
Осталось добавить данный сертификат корневого CA в список доверенных. Предположим мы хотим, чтобы этому сертификату было доверие только у текущей учетной записи. Откроем консоль certmgr. msc , перейдем в раздел Certificates > Trusted Root Certification Authorities . И в контекстном меню откроем мастер импорта сертификата ( Import ).
Выберем файл сертификата, полученный ранее, и поместим его в хранилище Trusted Root Certification Authorities .
Подтверждаем добавление сертификата.
Новый сертификат с именем CA должен появиться в списке.
Еще раз откроем страницу vCenter в браузере. Предупреждение не должно появиться.
Примечание . При необходимости, чтобы распространить данный сертификат на компьютеры домена, можно воспользоваться возможностями групповой политики ( Установка сертификата на компьютеры с помощью GPO ).
Указанная инструкция применима к vCenter Server Appliance , в случае использования Windows vCenter Server , скачать файл сертфиката таким образом не удастся, т.к. ссылка на загрузку архива с сертификатом будет отсутствовать. Этот файл хранится на сервере vCenter Server (под Windows) в каталоге C:ProgramDataVMwareSSL . (в более старый версиях C:ProgramdataVMwareVMware VirtualCenterSSL). Сертификат из этого каталога аналогичным образом нужно импортировать на клиенте.
