安装了vCenter之后访问其页面默认的证书并不被Windows系统信任浏览器提示不安全的网站如果之前曾经给ESXi主机替换过合法证书加入vCenter的数据中心之后证书也被换为vCenter的不合法证书了。注如果Edge浏览器提示net::ERR_CERT_AUTHORITY_INVALID无法浏览网页就直接在键盘上键入thisisunsafe解决方法有两种。方法一信任vCenter自带的自签名证书。在登陆页面右侧有根证书下载下来双击证书点击“安装证书”将其导入“受信任的跟着证书颁发机构”即可。方法二使用自己企业的CA给VMCA颁发证书后者再自动颁发证书什么是VMCA在 vSphere 环境中vCenter Server、ESXi 主机以及各种后台服务之间通信时都需要 SSL 证书来证明身份并加密数据。VMware从6.5版本开始引入VMCA作为内置的私有CA其核心作用就是自动签发和管理这些证书这就避免了企业购买证书或者自己搭建 CA 服务器再手动给每台 ESXi 和每个 vCenter 服务配置证带来的巨大工作量。但需要注意的是VMCA默认使用自签名根证书这在某些安全要求严格的环境中可能不被接受所以本文使用企业的根CA给VMCA颁发证书后者成为了中间CA拥有了合法身份。1、得到根证书。在Windows 2016下配置好企业CA这就得到了根证书并且信任该证书流程略。注根证书默认有效期5年如果希望更长的有效期比如20年在安装企业CA之前需要修改C:\Windows\CAPolicy.inf的内容详细资料非本文讨论范畴可百度或AI。2、创建“从属证书颁发机构”模板命名为vSphere VMCA服务器管理器→工具→证书颁发机构在“证书模板”上右键→管理在“从属证书颁发机构”上点右键→复制模板注严格的说中间CA证书有效期不能超过根CA的有效期证书模板→新建→要颁发的证书模板选择刚才创建的vSphere VMCA关闭Windows 2016。3、打开VCSA的SSH功能既可以在DCUI界面里打开也可以进入vCenter的5480端口默认账号是root→访问→SSH登录。如果有必要就打开BASH Shell超时锁定比如99分钟。4、修改时区进入vCenter设置5480端口→时间编辑时区改为Asia/Shanghai。5、在 VCSA 上生成证书请求 CSR文件MobaXterm登录vCenter的BASH Shell界面。输入命令shellchsh -s /bin/bash rootMobaXterm新打开一个相同的SSH会话左侧会出现Linux目录树可以上传下载文件。mkdir /tmp/certs/usr/lib/vmware-vmca/bin/certificate-manager进入证书管理器开始生成证书请求。原始界面是英文我将其翻译为中文界面2n输入vCenter的账号administratorvsphere.local 再输入vCenter的密码 接着是输入一些信息以便生成证书申请因为过长没有截图完全的“Hostname”是输入主机名vc.91xueit.com按1指定目录 /tmp/certs在其下生成证书请求CSR文件和私钥用MobaXterm左侧工具栏把证书申请文件vmca_issued_csr.csr拖出来放在Windows桌面。6、将 CSR 提交给 Windows 企业 CA 签名获得 VMCA 中间 CA 证书打开vmca_issued_csr.csr将其内容粘贴到证书申请界面。如果你的CA地址是192.168.80.120网址就是http://192.168.80.120/certsrv申请证书→高级证书申请贴入证书“证书模板”选择vSphere VMCA→提交勾选Base 64编码下载证书即中间证书改名为CA.cer7、构建完整证书链文件更新证书得到的中间CA的证书还要处理一下在其中加上其余的证书以构建完整的证书链格式如下顺序很重要VMCA 证书在最上面根证书在最下面。对于本实验中间CA证书之外只有根证书所以把根证书的内容加到中间CA证书之下也就是说CA.cer包含2个证书。注意如果倒数第一行是空行就删除将CA.cer拖动到MobaXterm的左侧栏目录是/tmp/certs回到之前的SSH会话按1导入刚才上传过来的证书文件和本地生成的私钥再按y开始更新证书并重启vCenter需要等待一会。关闭Edge再打开当可以访问VCSA的FQDN地址vc.91xueit.com即会发现不再提示证书错误前提是信任了企业根CA查看网页的证书可见该证书是由中间CA签发的中间CA又是由根CA签发的命令行提示成功更新证书替换完毕虽8、虽然浏览器访问vCenter不再提示证书错误但访问ESXi主机还是会提示证书错误解决方法如下点击最顶部的vCenter名称→配置→高级配置→编辑设置找到vpxd.certmgmt.certs.minutesBefore大概在第74页将其值由1440改为10保存在左侧列表单击ESXi主机→配置→系统→证书→更新给ESXi主机更新证书。从vCenter里下载证书压缩包https://你的vCenter_FQDN/certs/download.zip解压缩后在win目录下找到中间CA证书双击导入”中间证书颁发机构“。现在你已经信任了中间CA中间证书颁发机构再加上之前信任的企业根CA受信任的根证书颁发机构构建起完整的证书链再次访问ESXi主机就不会提示证书问题了。
