Categories: VMware

VMWare vCenter: отключаем предупреждение о самоподписанном сертификате

При подключении к серверу VMWare vCenter с помощью браузера появляется предупреждение об использовании самоподписанного сертификата, выданного недоверенным центром сертификации. В Firefox и других браузерах это предупреждение убирается простым добавление сайта vCenter в список исключений, в Internet Explorer все несколько сложнее.

SSL сертификаты, устанавливаемые по умолчанию с серверами ESXi и vCenter являются самоподписанными, и, соответственно, другие системы не доверяют им, выдавая предупреждение или блокируя соединение с такими сайтами. Чтобы отключить предупреждение о самоподписанном сертификате, можно добавить самоподписанный сертификат в список доверенных или заменить сертификат на собственный, выданный доверенным центром сертификации. Мы рассмотрим первый вариант, процедура в общем-то достаточно тривиальная, но есть несколько не вполне очевидных моментов.

Итак, при открытии веб страницы сервера vCenter в браузере появляется окно со следующим предупреждением:

There is a problem with this website’s security certificate.
The security certificate presented by this website was not issued by a trusted certificate authority.
The security certificate presented by this website was issued for a different website’s address.
Security certificate problems may indicate an attempt to fool you or intercept any data you send to the server.

Примечание . Предупреждение The security certificate presented by this website was issued for a different website’s address выводится, т.к. в нашем случае имя хоста отличается от CN имени, для которого выписан сертификат. Чтобы это предупреждение не выводилось, в браузере нужно открывать именно FQDN имя, на которое выписан сертификат. Кстати говоря, для удобства этот сертификат можно заменить на собственный, созданный с помощью командлета New-SelfSignedCertificate , позволяющего выписывать сертификат для произвольного набора CN.

Нажав на ссылку Continue to this website link (not recommended) , можно перейти на стартовую страницу vCenter. Чтобы скачать сертификат, нажмите на ссылку Download trusted root CA certificates .

Сохраните файл в произвольный каталог. Имя файла download (у файла нет расширения).

Затем меняем расширение файла download на download . zip и распакуем его с помощью встроенного архиватора ( Extract All ).

Внутри содержимого архива cert находиться 2 файла, у одного расширение .0 , у второго . r0 . Изменим расширение файла .0 на .cer .

Осталось добавить данный сертификат корневого CA в список доверенных. Предположим мы хотим, чтобы этому сертификату было доверие только у текущей учетной записи. Откроем консоль certmgr. msc , перейдем в раздел Certificates > Trusted Root Certification Authorities . И в контекстном меню откроем мастер импорта сертификата ( Import ).

Выберем файл сертификата, полученный ранее, и поместим его в хранилище Trusted Root Certification Authorities .

Подтверждаем добавление сертификата.

Новый сертификат с именем CA должен появиться в списке.

Еще раз откроем страницу vCenter в браузере. Предупреждение не должно появиться.

Примечание . При необходимости, чтобы распространить данный сертификат на компьютеры домена, можно воспользоваться возможностями групповой политики ( Установка сертификата на компьютеры с помощью GPO ).

Указанная инструкция применима к vCenter Server Appliance , в случае использования Windows vCenter Server , скачать файл сертфиката таким образом не удастся, т.к. ссылка на загрузку архива с сертификатом будет отсутствовать. Этот файл хранится на сервере vCenter Server (под Windows) в каталоге C:ProgramDataVMwareSSL . (в более старый версиях C:ProgramdataVMwareVMware VirtualCenterSSL). Сертификат из этого каталога аналогичным образом нужно импортировать на клиенте.

admin