估計(jì)大多數(shù)使用vCenter Server管理服務(wù)器的網(wǎng)管員都遭遇過vSphere證書故障，很多人都認(rèn)為出現(xiàn)vSphere證書錯(cuò)誤算不得什么故障，只是在登錄vCenter Server時(shí)報(bào)錯(cuò)，使用起來不太方便而已。其實(shí)，筆者也是這樣認(rèn)為的，也總遇到證書錯(cuò)誤之類的現(xiàn)象，從來沒有重視過這類故障。

最近筆者在排除存儲(chǔ)故障過程中，總有證書錯(cuò)誤提示。在刪除故障存儲(chǔ)的錯(cuò)誤報(bào)警中，報(bào)證書錯(cuò)誤的也不少，正是受證書錯(cuò)誤影響，使筆者的存儲(chǔ)故障排除過程更加曲折。

事情的經(jīng)過是這樣的，某客戶單位的網(wǎng)管員要筆者幫助他刪除有故障的網(wǎng)絡(luò)存儲(chǔ)（從存儲(chǔ)列表清單中刪除故障存儲(chǔ)），筆者嘗試了很多辦法，包括斷電等措施，就是也不能將故障存儲(chǔ)從列表中刪除，刪除過程中經(jīng)常報(bào)證書錯(cuò)誤（有時(shí)也報(bào)其他錯(cuò)誤）。正是因?yàn)榭偝霈F(xiàn)證書錯(cuò)誤，筆者不得不把精力轉(zhuǎn)向排除證書故障上。經(jīng)過幾番周折，發(fā)現(xiàn)根本不是證書故障的原因，原來是某些對(duì)象和故障存儲(chǔ)之間存在某種映射關(guān)系，所以無法將故障存儲(chǔ)從存儲(chǔ)列表刪除。

證書錯(cuò)誤對(duì)管理的影響

事實(shí)上，出現(xiàn)vSphere證書錯(cuò)誤后，不只是操作不便，也不僅僅是影響故障分析和判斷，它還會(huì)影響vSphere的某些功能能否正常使用。下面列舉的就是出現(xiàn)證書錯(cuò)誤后對(duì)管理功能的影響：

1.使 用Web Access或vSphere Client訪 問vCenter Server時(shí)失敗，此時(shí)顯示的是SSL證書錯(cuò)誤（1021514）。

2.在vSphere Web Client中查看VMware證書頒發(fā)機(jī)構(gòu)詳細(xì)信息時(shí)失敗，此時(shí)顯示的是無法從VMware證書頒發(fā)機(jī)構(gòu)獲取證書（2115941）。

3.將文件上傳到內(nèi)容庫或網(wǎng)絡(luò)存儲(chǔ)時(shí)，提示不信任證書或操作因未知原因失敗，無法將文件上傳到網(wǎng)絡(luò)或主機(jī)存儲(chǔ)上。

4.在部署OVF或OVA模板時(shí)，提示不信任證書或操作因未知原因，最終無法完成部署操作。

5.添加主機(jī)時(shí)報(bào)證書錯(cuò) 誤“Error:The Root CA certificate is missing or failed to Initialize（70000）”，無法將主機(jī)添加到vCenter數(shù)據(jù)中心。

……

出現(xiàn)證書錯(cuò)誤后，可能影響的管理功能遠(yuǎn)不止這些，因此，遇到vSphere證書錯(cuò)誤后，及時(shí)排除故障還是很有必要的。

vSphere證書

這里所指的vSphere證書其實(shí)就是數(shù)字證書。默認(rèn)情況下，安裝部署vSphere vCenter Server后，vCenter Server用的是VMware自己簽發(fā)的數(shù)字證書。

vSphere用數(shù)字證書加密通信，對(duì)服務(wù)進(jìn)行身份驗(yàn)證，對(duì)令牌進(jìn)行簽名等措施來提供通訊的安全性。vSphere數(shù)字證書使用的是X.509 v3標(biāo)準(zhǔn)的數(shù)字證書，用來加密通過組件之間的安全套接字層協(xié)議連接發(fā)送的會(huì)話信息，包括用vSphere數(shù)字證書加密vCenter Server系統(tǒng)與其管理的每個(gè)ESXi主機(jī)之間的通信，對(duì)vSphere服務(wù)進(jìn)行身份驗(yàn)證，并使用SSL提供的證書驗(yàn)證某些功能要求，如vSphere Fault Tolerance等。在執(zhí)行某些內(nèi)部操作時(shí)，也會(huì)使用vSphere證書，如對(duì)令牌進(jìn)行簽名。也就是說，只要vSphere報(bào)證書錯(cuò)誤或?yàn)g覽器報(bào)證書錯(cuò)誤，不僅僅是在連接vCenter Server過程中操作繁瑣一點(diǎn)的問題，還可能會(huì)影響vCenter部分功能的使用，如前面所列舉的證書錯(cuò)誤故障。

在本地計(jì)算機(jī)信任vSphere證書

VMware Certificate Authority（VMware證書頒發(fā) 機(jī) 構(gòu)，VMCA）是vCenter Server的一個(gè)服務(wù)。默認(rèn)情況下，安裝vCenter Server后，VMCA會(huì)自動(dòng)為vCenter Server生成root CA證書，顯然，這些自動(dòng)生成的證書并不是由商業(yè)證書頒發(fā)機(jī)構(gòu)（CA）簽署的。Firefox、Internet Explorer、Opera、Safari 以及Google Chrome等瀏覽器內(nèi)置了早就確定的根證書列表，這就是使用主流CA發(fā)布的證書SSL都直接可以正常使用，而使用VMCA發(fā)布的證書SSL不能正常使用的原因。例如，在使用IE等瀏覽器登錄vCenter Server時(shí)，會(huì)出現(xiàn)“此站點(diǎn)不安全”錯(cuò)誤提示。由此可見，只要在本地計(jì)算機(jī)安裝并信任vSphere證書，讓瀏覽器信任VMCA簽署的root CA證書，就可以解決證書故障的問題。

1.打開瀏覽器后，輸入vCenter Server的訪問地址，出現(xiàn)“此站點(diǎn)不安全”頁面后，單擊“詳細(xì)信息”后，再單擊“轉(zhuǎn)到此網(wǎng)頁（不推薦）”，即可進(jìn)入 vCenter Server首頁。

2.進(jìn)入vCenter Server首頁后，此時(shí)在瀏覽器地址欄右側(cè)會(huì)出現(xiàn)“證書錯(cuò)誤”字樣。

3.單擊“證書錯(cuò)誤”可以了解到如下錯(cuò)誤信息：

·不受信任的證書

·此網(wǎng)站出具的安全證書不是由受信任的證書頒發(fā)機(jī)構(gòu)頒發(fā)的

·此問題表明可能有人試圖欺騙你或截獲你向服務(wù)器發(fā)送的數(shù)據(jù)

·建議關(guān)閉此網(wǎng)頁。

4.進(jìn) 入v C e n t e r Server“入門”頁面后，單擊頁面右下側(cè)的“下載受信任的root CA證書”，下載root CA證書。

5.下載的root CA證書是一個(gè)ZIP壓縮文件，下載并保存該壓縮文件后，將壓縮文件解壓到本地磁盤。

6.將root CA證 書ZIP壓縮文件解壓后有“l(fā)in”“mac”“win”三個(gè)文件夾，分別適用于Linux、Mac OS和Windows操作系統(tǒng)。在本例中，用來登錄vCenter Server的計(jì)算機(jī)采用的是Windows操作系統(tǒng)，雙擊“win”文件夾下擴(kuò)展名“crt”的安全證書即可安裝證書。

7.出 現(xiàn)“證 書”窗口后，單擊“安裝證書”按鈕，安裝從vCenter Server下載的由VMCA簽署的root CA證書。

8.出現(xiàn)“證書導(dǎo)入向?qū)А表撁婧螅x擇“本地計(jì)算機(jī)”。

9.出現(xiàn)“證書存儲(chǔ)”頁面后，選擇“將所有的證書都放入下列存儲(chǔ)”，單擊“瀏覽”按鈕選擇證書存儲(chǔ)。

10.出現(xiàn)“選擇證書存儲(chǔ)”頁面后，選擇“受信任的根證書頒發(fā)機(jī)構(gòu)”。

11.回到“證書存儲(chǔ)”頁面后，檢查所做的選擇是否是將所有的證書都放入受信任的根證書頒發(fā)機(jī)構(gòu)（如圖1），如果沒有問題，按照提示完成證書導(dǎo)入即可。

12.導(dǎo)入VMware root CA證書后，關(guān)閉瀏覽器。

13.重新打開瀏覽器，登錄 vCenter Server，此時(shí)瀏覽器不再報(bào)證書錯(cuò)誤之類的提示，說明在本地計(jì)算機(jī)信任vSphere root CA證書后，不再有證書錯(cuò)誤提示，故障排除。

圖1 查看證書是否放入受信任的根證書頒發(fā)機(jī)構(gòu)

圖2 單擊vCenter Server服務(wù)器節(jié)點(diǎn)

證書過期的處理

筆者在解決vSphere root CA證書信任問題過程中，還遇到了證書過期的問題。按理說，自動(dòng)生成的vSphere證書（含主機(jī)證書）一般有4-5年的有效期，不容易出現(xiàn)證書過期的問題。正是因?yàn)関Sphere證書的有效期比較長，很多網(wǎng)絡(luò)管理員才不關(guān)注證書過期問題。不過，證書過期是遲早的事情，畢竟是證書是有期限的，如果主機(jī)（物理服務(wù)器）時(shí)間出現(xiàn)嚴(yán)重偏差，證書就比較容易出現(xiàn)過期的問題。處理證書過期故障的方法也比較簡單，找到過期的證書，續(xù)訂即可，具體操作過程如下：

1.登錄到vCenter Server后，單擊頁面頂部“vmware vSphere Web Client”右側(cè)的主頁圖標(biāo)按鈕，出現(xiàn)導(dǎo)航菜單后選擇“主頁”（快捷鍵：Ctrl+Alt+1）。

2.進(jìn)入“主頁”后，單擊“系統(tǒng)管理”欄目下的“系統(tǒng)配置”圖標(biāo)。

3.進(jìn)入“系統(tǒng)配置”頁面后，單擊“對(duì)象”選項(xiàng)卡，在對(duì)象列表中單擊vCenter Server服務(wù)器節(jié)點(diǎn)（如圖2）。

4.進(jìn)入vCenter服務(wù)器節(jié)點(diǎn)管理頁面后，單擊“管理”選項(xiàng)卡，在“管理”選項(xiàng)卡下選擇“證書頒發(fā)機(jī)構(gòu)”。

5.作為加強(qiáng)的安全措 施，vSphere vCenter Server要求驗(yàn)證密碼后才能查看證書信息。出現(xiàn)驗(yàn)證密碼頁面后，單擊“驗(yàn)證密碼”。彈出“輸入密碼”對(duì)話框后，輸入登錄vCenter Server服務(wù)器的密碼即可。

6.此時(shí)可以看到“證書已過期或即將過期”的錯(cuò)誤提示，關(guān)閉錯(cuò)誤提示框。

7.在證書列表中，觀察“有效期至”列，很容易找到紅色感嘆號(hào)標(biāo)識(shí)的過期證書，在“主體”列中可以看到過期證書的主體信息。筆者所遇到的過期證書是一臺(tái)主機(jī)的證書，主體列包含了過期證書的主機(jī)IP等信息（如圖3所示）。

8.單擊頁面頂部“vmware vSphere Web Client”右側(cè)的主頁圖標(biāo)按鈕，出現(xiàn)導(dǎo)航菜單后選擇“主機(jī)和群集”，進(jìn)入主機(jī)和群集頁面后，雙擊打開證書已過期的主機(jī)。

9.進(jìn)入主機(jī)配置頁面后，單擊“配置”選項(xiàng)卡，在“配置”選項(xiàng)卡下選擇頁面左側(cè)導(dǎo)航菜單“系統(tǒng)”下面的“證書”。此時(shí)右側(cè)顯示就是該主機(jī)的證書信息，單擊“續(xù)訂”按鈕即可續(xù)訂證書（如圖4所示）。

圖3 過期證書

圖4 續(xù)訂證書

10.出現(xiàn)“續(xù)訂證書”提示窗口后，單擊“是”按鈕為主機(jī)續(xù)訂證書。在本例中，原過期證書的期限是“2013/2/5-2018/2/5”，續(xù)訂證書后的期限是“2018-11-6-2023/1/30”。

結(jié)語

前面通過信任證書排除證書故障的方法只適用于某臺(tái)需要登錄vCenter Server的電腦，如果在另外一臺(tái)電腦 登 錄vCenter Server，同樣需要下載安裝VMCA生成的root CA證書。如果想隨時(shí)隨地登錄vCenter Server，而且不受操作系統(tǒng)限制，只能用商業(yè)證書頒發(fā)機(jī)構(gòu)簽署的證書替換掉vCenter Server默認(rèn)的證書（VMCA簽署的證書）。同理，如果單位的安全策略有相關(guān)證書要求，如單位有自己的CA，需要使用單位CA簽名的證書等。

如果沒有商業(yè)證書頒發(fā)機(jī)構(gòu)簽署的證書，單位也沒有自己的CA，只要單位有Windows服務(wù)器操作系統(tǒng)，還可以將Windows服務(wù)器配置成CA證書服務(wù)器（Windows Server 2003以上的服務(wù)器系統(tǒng)都可以配置為CA證書服務(wù)器）。單位有了自己私有證書服務(wù)器，就可以自定義證書。

vSphere允許使用商業(yè)證書頒發(fā)機(jī)構(gòu)簽署的證書、第三方單位CA或單位私有CA等自定義證書，在vSphere中將證書替換自定義證書的具體替換方法可參考VMware產(chǎn) 品 文 檔“在 vSphere中使用自定義證書”（網(wǎng)址：https://docs.vmware.com/cn/VMware-vSphere/6.7/com.vmware.psc.doc/GUIDDC693417-78CF-477F-9A4FAFC9AA1D74E7.html）。