估計(jì)大多數(shù)使用vCenter Server管理服務(wù)器的網(wǎng)管員都遭遇過vSphere證書故障,很多人都認(rèn)為出現(xiàn)vSphere證書錯(cuò)誤算不得什么故障,只是在登錄vCenter Server時(shí)報(bào)錯(cuò),使用起來不太方便而已。其實(shí),筆者也是這樣認(rèn)為的,也總遇到證書錯(cuò)誤之類的現(xiàn)象,從來沒有重視過這類故障。
最近筆者在排除存儲(chǔ)故障過程中,總有證書錯(cuò)誤提示。在刪除故障存儲(chǔ)的錯(cuò)誤報(bào)警中,報(bào)證書錯(cuò)誤的也不少,正是受證書錯(cuò)誤影響,使筆者的存儲(chǔ)故障排除過程更加曲折。
事情的經(jīng)過是這樣的,某客戶單位的網(wǎng)管員要筆者幫助他刪除有故障的網(wǎng)絡(luò)存儲(chǔ)(從存儲(chǔ)列表清單中刪除故障存儲(chǔ)),筆者嘗試了很多辦法,包括斷電等措施,就是也不能將故障存儲(chǔ)從列表中刪除,刪除過程中經(jīng)常報(bào)證書錯(cuò)誤(有時(shí)也報(bào)其他錯(cuò)誤)。正是因?yàn)榭偝霈F(xiàn)證書錯(cuò)誤,筆者不得不把精力轉(zhuǎn)向排除證書故障上。經(jīng)過幾番周折,發(fā)現(xiàn)根本不是證書故障的原因,原來是某些對(duì)象和故障存儲(chǔ)之間存在某種映射關(guān)系,所以無法將故障存儲(chǔ)從存儲(chǔ)列表刪除。
事實(shí)上,出現(xiàn)vSphere證書錯(cuò)誤后,不只是操作不便,也不僅僅是影響故障分析和判斷,它還會(huì)影響vSphere的某些功能能否正常使用。下面列舉的就是出現(xiàn)證書錯(cuò)誤后對(duì)管理功能的影響:
1.使 用Web Access或vSphere Client訪 問vCenter Server時(shí)失敗,此時(shí)顯示的是SSL證書錯(cuò)誤(1021514)。
2.在vSphere Web Client中查看VMware證書頒發(fā)機(jī)構(gòu)詳細(xì)信息時(shí)失敗,此時(shí)顯示的是無法從VMware證書頒發(fā)機(jī)構(gòu)獲取證書(2115941)。
3.將文件上傳到內(nèi)容庫或網(wǎng)絡(luò)存儲(chǔ)時(shí),提示不信任證書或操作因未知原因失敗,無法將文件上傳到網(wǎng)絡(luò)或主機(jī)存儲(chǔ)上。
4.在部署OVF或OVA模板時(shí),提示不信任證書或操作因未知原因,最終無法完成部署操作。
5.添加主機(jī)時(shí)報(bào)證書錯(cuò) 誤“Error:The Root CA certificate is missing or failed to Initialize(70000)”,無法將主機(jī)添加到vCenter數(shù)據(jù)中心。
……
出現(xiàn)證書錯(cuò)誤后,可能影響的管理功能遠(yuǎn)不止這些,因此,遇到vSphere證書錯(cuò)誤后,及時(shí)排除故障還是很有必要的。
這里所指的vSphere證書其實(shí)就是數(shù)字證書。默認(rèn)情況下,安裝部署vSphere vCenter Server后,vCenter Server用的是VMware自己簽發(fā)的數(shù)字證書。
vSphere用數(shù)字證書加密通信,對(duì)服務(wù)進(jìn)行身份驗(yàn)證,對(duì)令牌進(jìn)行簽名等措施來提供通訊的安全性。vSphere數(shù)字證書使用的是X.509 v3標(biāo)準(zhǔn)的數(shù)字證書,用來加密通過組件之間的安全套接字層協(xié)議連接發(fā)送的會(huì)話信息,包括用vSphere數(shù)字證書加密vCenter Server系統(tǒng)與其管理的每個(gè)ESXi主機(jī)之間的通信,對(duì)vSphere服務(wù)進(jìn)行身份驗(yàn)證,并使用SSL提供的證書驗(yàn)證某些功能要求,如vSphere Fault Tolerance等。在執(zhí)行某些內(nèi)部操作時(shí),也會(huì)使用vSphere證書,如對(duì)令牌進(jìn)行簽名。也就是說,只要vSphere報(bào)證書錯(cuò)誤或?yàn)g覽器報(bào)證書錯(cuò)誤,不僅僅是在連接vCenter Server過程中操作繁瑣一點(diǎn)的問題,還可能會(huì)影響vCenter部分功能的使用,如前面所列舉的證書錯(cuò)誤故障。
VMware Certificate Authority(VMware證書頒發(fā) 機(jī) 構(gòu),VMCA)是vCenter Server的一個(gè)服務(wù)。默認(rèn)情況下,安裝vCenter Server后,VMCA會(huì)自動(dòng)為vCenter Server生成root CA證書,顯然,這些自動(dòng)生成的證書并不是由商業(yè)證書頒發(fā)機(jī)構(gòu)(CA)簽署的。Firefox、Internet Explorer、Opera、Safari 以及Google Chrome等瀏覽器內(nèi)置了早就確定的根證書列表,這就是使用主流CA發(fā)布的證書SSL都直接可以正常使用,而使用VMCA發(fā)布的證書SSL不能正常使用的原因。例如,在使用IE等瀏覽器登錄vCenter Server時(shí),會(huì)出現(xiàn)“此站點(diǎn)不安全”錯(cuò)誤提示。由此可見,只要在本地計(jì)算機(jī)安裝并信任vSphere證書,讓瀏覽器信任VMCA簽署的root CA證書,就可以解決證書故障的問題。
1.打開瀏覽器后,輸入vCenter Server的訪問地址,出現(xiàn)“此站點(diǎn)不安全”頁面后,單擊“詳細(xì)信息”后,再單擊“轉(zhuǎn)到此網(wǎng)頁(不推薦)”,即可進(jìn)入 vCenter Server首頁。
2.進(jìn)入vCenter Server首頁后,此時(shí)在瀏覽器地址欄右側(cè)會(huì)出現(xiàn)“證書錯(cuò)誤”字樣。
3.單擊“證書錯(cuò)誤”可以了解到如下錯(cuò)誤信息:
·不受信任的證書
·此網(wǎng)站出具的安全證書不是由受信任的證書頒發(fā)機(jī)構(gòu)頒發(fā)的
·此問題表明可能有人試圖欺騙你或截獲你向服務(wù)器發(fā)送的數(shù)據(jù)
·建議關(guān)閉此網(wǎng)頁。
4.進(jìn) 入v C e n t e r Server“入門”頁面后,單擊頁面右下側(cè)的“下載受信任的root CA證書”,下載root CA證書。
5.下載的root CA證書是一個(gè)ZIP壓縮文件,下載并保存該壓縮文件后,將壓縮文件解壓到本地磁盤。
6.將root CA證 書ZIP壓縮文件解壓后有“l(fā)in”“mac”“win”三個(gè)文件夾,分別適用于Linux、Mac OS和Windows操作系統(tǒng)。在本例中,用來登錄vCenter Server的計(jì)算機(jī)采用的是Windows操作系統(tǒng),雙擊“win”文件夾下擴(kuò)展名“crt”的安全證書即可安裝證書。
7.出 現(xiàn)“證 書”窗口后,單擊“安裝證書”按鈕,安裝從vCenter Server下載的由VMCA簽署的root CA證書。
8.出現(xiàn)“證書導(dǎo)入向?qū)А表撁婧螅x擇“本地計(jì)算機(jī)”。
9.出現(xiàn)“證書存儲(chǔ)”頁面后,選擇“將所有的證書都放入下列存儲(chǔ)”,單擊“瀏覽”按鈕選擇證書存儲(chǔ)。
10.出現(xiàn)“選擇證書存儲(chǔ)”頁面后,選擇“受信任的根證書頒發(fā)機(jī)構(gòu)”。
11.回到“證書存儲(chǔ)”頁面后,檢查所做的選擇是否是將所有的證書都放入受信任的根證書頒發(fā)機(jī)構(gòu)(如圖1),如果沒有問題,按照提示完成證書導(dǎo)入即可。
12.導(dǎo)入VMware root CA證書后,關(guān)閉瀏覽器。
13.重新打開瀏覽器,登錄 vCenter Server,此時(shí)瀏覽器不再報(bào)證書錯(cuò)誤之類的提示,說明在本地計(jì)算機(jī)信任vSphere root CA證書后,不再有證書錯(cuò)誤提示,故障排除。
圖1 查看證書是否放入受信任的根證書頒發(fā)機(jī)構(gòu)
圖2 單擊vCenter Server服務(wù)器節(jié)點(diǎn)
筆者在解決vSphere root CA證書信任問題過程中,還遇到了證書過期的問題。按理說,自動(dòng)生成的vSphere證書(含主機(jī)證書)一般有4-5年的有效期,不容易出現(xiàn)證書過期的問題。正是因?yàn)関Sphere證書的有效期比較長,很多網(wǎng)絡(luò)管理員才不關(guān)注證書過期問題。不過,證書過期是遲早的事情,畢竟是證書是有期限的,如果主機(jī)(物理服務(wù)器)時(shí)間出現(xiàn)嚴(yán)重偏差,證書就比較容易出現(xiàn)過期的問題。處理證書過期故障的方法也比較簡單,找到過期的證書,續(xù)訂即可,具體操作過程如下:
1.登錄到vCenter Server后,單擊頁面頂部“vmware vSphere Web Client”右側(cè)的主頁圖標(biāo)按鈕,出現(xiàn)導(dǎo)航菜單后選擇“主頁”(快捷鍵:Ctrl+Alt+1)。
2.進(jìn)入“主頁”后,單擊“系統(tǒng)管理”欄目下的“系統(tǒng)配置”圖標(biāo)。
3.進(jìn)入“系統(tǒng)配置”頁面后,單擊“對(duì)象”選項(xiàng)卡,在對(duì)象列表中單擊vCenter Server服務(wù)器節(jié)點(diǎn)(如圖2)。
4.進(jìn)入vCenter服務(wù)器節(jié)點(diǎn)管理頁面后,單擊“管理”選項(xiàng)卡,在“管理”選項(xiàng)卡下選擇“證書頒發(fā)機(jī)構(gòu)”。
5.作為加強(qiáng)的安全措 施,vSphere vCenter Server要求驗(yàn)證密碼后才能查看證書信息。出現(xiàn)驗(yàn)證密碼頁面后,單擊“驗(yàn)證密碼”。彈出“輸入密碼”對(duì)話框后,輸入登錄vCenter Server服務(wù)器的密碼即可。
6.此時(shí)可以看到“證書已過期或即將過期”的錯(cuò)誤提示,關(guān)閉錯(cuò)誤提示框。
7.在證書列表中,觀察“有效期至”列,很容易找到紅色感嘆號(hào)標(biāo)識(shí)的過期證書,在“主體”列中可以看到過期證書的主體信息。筆者所遇到的過期證書是一臺(tái)主機(jī)的證書,主體列包含了過期證書的主機(jī)IP等信息(如圖3所示)。
8.單擊頁面頂部“vmware vSphere Web Client”右側(cè)的主頁圖標(biāo)按鈕,出現(xiàn)導(dǎo)航菜單后選擇“主機(jī)和群集”,進(jìn)入主機(jī)和群集頁面后,雙擊打開證書已過期的主機(jī)。
9.進(jìn)入主機(jī)配置頁面后,單擊“配置”選項(xiàng)卡,在“配置”選項(xiàng)卡下選擇頁面左側(cè)導(dǎo)航菜單“系統(tǒng)”下面的“證書”。此時(shí)右側(cè)顯示就是該主機(jī)的證書信息,單擊“續(xù)訂”按鈕即可續(xù)訂證書(如圖4所示)。
圖3 過期證書
圖4 續(xù)訂證書
10.出現(xiàn)“續(xù)訂證書”提示窗口后,單擊“是”按鈕為主機(jī)續(xù)訂證書。在本例中,原過期證書的期限是“2013/2/5-2018/2/5”,續(xù)訂證書后的期限是“2018-11-6-2023/1/30”。
前面通過信任證書排除證書故障的方法只適用于某臺(tái)需要登錄vCenter Server的電腦,如果在另外一臺(tái)電腦 登 錄vCenter Server,同樣需要下載安裝VMCA生成的root CA證書。如果想隨時(shí)隨地登錄vCenter Server,而且不受操作系統(tǒng)限制,只能用商業(yè)證書頒發(fā)機(jī)構(gòu)簽署的證書替換掉vCenter Server默認(rèn)的證書(VMCA簽署的證書)。同理,如果單位的安全策略有相關(guān)證書要求,如單位有自己的CA,需要使用單位CA簽名的證書等。
如果沒有商業(yè)證書頒發(fā)機(jī)構(gòu)簽署的證書,單位也沒有自己的CA,只要單位有Windows服務(wù)器操作系統(tǒng),還可以將Windows服務(wù)器配置成CA證書服務(wù)器(Windows Server 2003以上的服務(wù)器系統(tǒng)都可以配置為CA證書服務(wù)器)。單位有了自己私有證書服務(wù)器,就可以自定義證書。
vSphere允許使用商業(yè)證書頒發(fā)機(jī)構(gòu)簽署的證書、第三方單位CA或單位私有CA等自定義證書,在vSphere中將證書替換自定義證書的具體替換方法可參考VMware產(chǎn) 品 文 檔“在 vSphere中使用自定義證書”(網(wǎng)址:https://docs.vmware.com/cn/VMware-vSphere/6.7/com.vmware.psc.doc/GUIDDC693417-78CF-477F-9A4FAFC9AA1D74E7.html)。