VMWare vCenter wyłącza ostrzeżenie o certyfikacie z podpisem własnym

Podczas łączenia się z serwerem VMWare vCenter za pomocą przeglądarki pojawia się ostrzeżenie o korzystaniu z samopodpisanego certyfikatu wydanego przez niezaufany urząd certyfikacji. W Firefoksie i innych przeglądarkach to ostrzeżenie jest usuwane poprzez dodanie witryny vCenter do listy wyjątków, w Internet Explorerze jest to trochę bardziej skomplikowane.

Certyfikaty SSL instalowane domyślnie na serwerach ESXi i vCenter są samopodpisane, a zatem inne systemy nie ufają im, wysyłając ostrzeżenie lub blokując połączenie z takimi witrynami. Aby wyłączyć ostrzeżenie o certyfikacie z podpisem własnym, możesz dodać certyfikat z podpisem własnym do listy zaufanych lub zastąpić certyfikat własnym certyfikatem wydanym przez zaufany ośrodek certyfikacji. Rozważymy pierwszą opcję, procedura jest ogólnie dość trywialna, ale jest kilka niezupełnie oczywistych punktów.

Po otwarciu strony internetowej serwera vCenter w przeglądarce pojawia się okno z następującym ostrzeżeniem:

Wystąpił problem z certyfikatem bezpieczeństwa tej witryny.
Certyfikat bezpieczeństwa przedstawiony przez tę witrynę nie został wystawiony przez zaufany urząd certyfikacji.
Certyfikat bezpieczeństwa przedstawiony przez tę stronę został wydany na inny adres strony.
Problemy z certyfikatami bezpieczeństwa mogą wskazywać na próbę oszukania użytkownika lub przechwycenia danych wysłanych na serwer.

Uwaga. Ostrzeżenie Certyfikat bezpieczeństwa przedstawiony przez tę stronę został wydany na inny adres strony Jest wyświetlany od w naszym przypadku nazwa hosta jest inna niż nazwa CN, dla której wydano certyfikat. Aby to ostrzeżenie nie było wyświetlane, konieczne jest otwarcie nazwy FQDN w przeglądarce, dla której certyfikat został wydany. Nawiasem mówiąc, dla wygody ten certyfikat można zastąpić własnym, utworzonym za pomocą polecenia cmdlet New-SelfSignedCertificate, który umożliwia wystawienie certyfikatu dla dowolnego zestawu CN.

Klikając link Przejdź do linku do tej witryny (niezalecane), Możesz przejść do strony początkowej vCenter. Aby pobrać certyfikat, kliknij link Pobierz zaufane certyfikaty głównego urzędu certyfikacji.

Zapisz plik w dowolnym katalogu. Nazwa pliku pobierz (plik nie ma rozszerzenia).

Następnie zmień rozszerzenie pliku pobierz na pobierz.zip i rozpakuj go za pomocą wbudowanego archiwizatora (Ekstrakt Wszyscy).

W zawartości archiwum cert znajdują się 2 pliki, jeden ma rozszerzenie .0 , na sekundę .r0. Zmień rozszerzenie pliku .0 na .cer.

Pozostaje dodać ten certyfikat głównego urzędu certyfikacji do listy zaufanych. Załóżmy, że chcemy, aby ten certyfikat był zaufany tylko dla bieżącego konta. Otwórzmy konsolę certmgr.msc, przejdźmy do sekcji Certyfikaty > Zaufany Root Certyfikacja Władze. W menu kontekstowym otwórz kreatora importu certyfikatów (Importuj).

Wybierz otrzymany wcześniej plik certyfikatu i umieść go w repozytorium Zaufany Root Certyfikacja Władze.

Potwierdź dodanie certyfikatu.

Nowy certyfikat o nazwie CA powinien pojawić się na liście..

Ponownie otwórz stronę vCenter w przeglądarce. Ostrzeżenie nie powinno się pojawić.

Uwaga. W razie potrzeby w celu rozpowszechnienia tego certyfikatu na komputerach domeny można skorzystać z funkcji zasad grupy (Instalowanie certyfikatu na komputerach korzystających z GPO).

Niniejsza instrukcja dotyczy Urządzenie vCenter Server, w przypadku użycia Windows vCenter Server, pobierz plik certyfikatu w ten sposób nie powiedzie się, ponieważ brak będzie linku do pobrania archiwum z certyfikatem. Ten plik jest przechowywany na serwerze vCenter Server (w systemie Windows) w katalogu C: \ ProgramData \ VMware \ SSL \. (w starszych wersjach C: \ Programdata \ VMware \ VMware VirtualCenter \ SSL). Certyfikat z tego katalogu należy również zaimportować na klienta w ten sam sposób..