排除vSphere證書(shū)故障

估計(jì)大多數(shù)使用vCenter Server管理服務(wù)器的網(wǎng)管員都遭遇過(guò)vSphere證書(shū)故障，很多人都認(rèn)為出現(xiàn)vSphere證書(shū)錯(cuò)誤算不得什么故障，只是在登錄vCenter Server時(shí)報(bào)錯(cuò)，使用起來(lái)不太方便而已。其實(shí)，筆者也是這樣認(rèn)為的，也總遇到證書(shū)錯(cuò)誤之類的現(xiàn)象，從來(lái)沒(méi)有重視過(guò)這類故障。

最近筆者在排除存儲(chǔ)故障過(guò)程中，總有證書(shū)錯(cuò)誤提示。在刪除故障存儲(chǔ)的錯(cuò)誤報(bào)警中，報(bào)證書(shū)錯(cuò)誤的也不少，正是受證書(shū)錯(cuò)誤影響，使筆者的存儲(chǔ)故障排除過(guò)程更加曲折。

事情的經(jīng)過(guò)是這樣的，某客戶單位的網(wǎng)管員要筆者幫助他刪除有故障的網(wǎng)絡(luò)存儲(chǔ)（從存儲(chǔ)列表清單中刪除故障存儲(chǔ)），筆者嘗試了很多辦法，包括斷電等措施，就是也不能將故障存儲(chǔ)從列表中刪除，刪除過(guò)程中經(jīng)常報(bào)證書(shū)錯(cuò)誤（有時(shí)也報(bào)其他錯(cuò)誤）。正是因?yàn)榭偝霈F(xiàn)證書(shū)錯(cuò)誤，筆者不得不把精力轉(zhuǎn)向排除證書(shū)故障上。經(jīng)過(guò)幾番周折，發(fā)現(xiàn)根本不是證書(shū)故障的原因，原來(lái)是某些對(duì)象和故障存儲(chǔ)之間存在某種映射關(guān)系，所以無(wú)法將故障存儲(chǔ)從存儲(chǔ)列表刪除。

證書(shū)錯(cuò)誤對(duì)管理的影響

事實(shí)上，出現(xiàn)vSphere證書(shū)錯(cuò)誤后，不只是操作不便，也不僅僅是影響故障分析和判斷，它還會(huì)影響vSphere的某些功能能否正常使用。下面列舉的就是出現(xiàn)證書(shū)錯(cuò)誤后對(duì)管理功能的影響：

1.使 用Web Access或vSphere Client訪 問(wèn)vCenter Server時(shí)失敗，此時(shí)顯示的是SSL證書(shū)錯(cuò)誤（1021514）。

2.在vSphere Web Client中查看VMware證書(shū)頒發(fā)機(jī)構(gòu)詳細(xì)信息時(shí)失敗，此時(shí)顯示的是無(wú)法從VMware證書(shū)頒發(fā)機(jī)構(gòu)獲取證書(shū)（2115941）。

3.將文件上傳到內(nèi)容庫(kù)或網(wǎng)絡(luò)存儲(chǔ)時(shí)，提示不信任證書(shū)或操作因未知原因失敗，無(wú)法將文件上傳到網(wǎng)絡(luò)或主機(jī)存儲(chǔ)上。

4.在部署OVF或OVA模板時(shí)，提示不信任證書(shū)或操作因未知原因，最終無(wú)法完成部署操作。

5.添加主機(jī)時(shí)報(bào)證書(shū)錯(cuò) 誤“Error:The Root CA certificate is missing or failed to Initialize（70000）”，無(wú)法將主機(jī)添加到vCenter數(shù)據(jù)中心。

……

出現(xiàn)證書(shū)錯(cuò)誤后，可能影響的管理功能遠(yuǎn)不止這些，因此，遇到vSphere證書(shū)錯(cuò)誤后，及時(shí)排除故障還是很有必要的。

vSphere證書(shū)

這里所指的vSphere證書(shū)其實(shí)就是數(shù)字證書(shū)。默認(rèn)情況下，安裝部署vSphere vCenter Server后，vCenter Server用的是VMware自己簽發(fā)的數(shù)字證書(shū)。

vSphere用數(shù)字證書(shū)加密通信，對(duì)服務(wù)進(jìn)行身份驗(yàn)證，對(duì)令牌進(jìn)行簽名等措施來(lái)提供通訊的安全性。vSphere數(shù)字證書(shū)使用的是X.509 v3標(biāo)準(zhǔn)的數(shù)字證書(shū)，用來(lái)加密通過(guò)組件之間的安全套接字層協(xié)議連接發(fā)送的會(huì)話信息，包括用vSphere數(shù)字證書(shū)加密vCenter Server系統(tǒng)與其管理的每個(gè)ESXi主機(jī)之間的通信，對(duì)vSphere服務(wù)進(jìn)行身份驗(yàn)證，并使用SSL提供的證書(shū)驗(yàn)證某些功能要求，如vSphere Fault Tolerance等。在執(zhí)行某些內(nèi)部操作時(shí)，也會(huì)使用vSphere證書(shū)，如對(duì)令牌進(jìn)行簽名。也就是說(shuō)，只要vSphere報(bào)證書(shū)錯(cuò)誤或?yàn)g覽器報(bào)證書(shū)錯(cuò)誤，不僅僅是在連接vCenter Server過(guò)程中操作繁瑣一點(diǎn)的問(wèn)題，還可能會(huì)影響vCenter部分功能的使用，如前面所列舉的證書(shū)錯(cuò)誤故障。

在本地計(jì)算機(jī)信任vSphere證書(shū)

VMware Certificate Authority（VMware證書(shū)頒發(fā) 機(jī) 構(gòu)，VMCA）是vCenter Server的一個(gè)服務(wù)。默認(rèn)情況下，安裝vCenter Server后，VMCA會(huì)自動(dòng)為vCenter Server生成root CA證書(shū)，顯然，這些自動(dòng)生成的證書(shū)并不是由商業(yè)證書(shū)頒發(fā)機(jī)構(gòu)（CA）簽署的。Firefox、Internet Explorer、Opera、Safari 以及Google Chrome等瀏覽器內(nèi)置了早就確定的根證書(shū)列表，這就是使用主流CA發(fā)布的證書(shū)SSL都直接可以正常使用，而使用VMCA發(fā)布的證書(shū)SSL不能正常使用的原因。例如，在使用IE等瀏覽器登錄vCenter Server時(shí)，會(huì)出現(xiàn)“此站點(diǎn)不安全”錯(cuò)誤提示。由此可見(jiàn)，只要在本地計(jì)算機(jī)安裝并信任vSphere證書(shū)，讓瀏覽器信任VMCA簽署的root CA證書(shū)，就可以解決證書(shū)故障的問(wèn)題。

1.打開(kāi)瀏覽器后，輸入vCenter Server的訪問(wèn)地址，出現(xiàn)“此站點(diǎn)不安全”頁(yè)面后，單擊“詳細(xì)信息”后，再單擊“轉(zhuǎn)到此網(wǎng)頁(yè)（不推薦）”，即可進(jìn)入 vCenter Server首頁(yè)。

2.進(jìn)入vCenter Server首頁(yè)后，此時(shí)在瀏覽器地址欄右側(cè)會(huì)出現(xiàn)“證書(shū)錯(cuò)誤”字樣。

3.單擊“證書(shū)錯(cuò)誤”可以了解到如下錯(cuò)誤信息：

·不受信任的證書(shū)

·此網(wǎng)站出具的安全證書(shū)不是由受信任的證書(shū)頒發(fā)機(jī)構(gòu)頒發(fā)的

·此問(wèn)題表明可能有人試圖欺騙你或截獲你向服務(wù)器發(fā)送的數(shù)據(jù)

·建議關(guān)閉此網(wǎng)頁(yè)。

4.進(jìn) 入v C e n t e r Server“入門(mén)”頁(yè)面后，單擊頁(yè)面右下側(cè)的“下載受信任的root CA證書(shū)”，下載root CA證書(shū)。

5.下載的root CA證書(shū)是一個(gè)ZIP壓縮文件，下載并保存該壓縮文件后，將壓縮文件解壓到本地磁盤(pán)。

6.將root CA證 書(shū)ZIP壓縮文件解壓后有“l(fā)in”“mac”“win”三個(gè)文件夾，分別適用于Linux、Mac OS和Windows操作系統(tǒng)。在本例中，用來(lái)登錄vCenter Server的計(jì)算機(jī)采用的是Windows操作系統(tǒng)，雙擊“win”文件夾下擴(kuò)展名“crt”的安全證書(shū)即可安裝證書(shū)。

7.出 現(xiàn)“證 書(shū)”窗口后，單擊“安裝證書(shū)”按鈕，安裝從vCenter Server下載的由VMCA簽署的root CA證書(shū)。

8.出現(xiàn)“證書(shū)導(dǎo)入向?qū)А表?yè)面后，選擇“本地計(jì)算機(jī)”。

9.出現(xiàn)“證書(shū)存儲(chǔ)”頁(yè)面后，選擇“將所有的證書(shū)都放入下列存儲(chǔ)”，單擊“瀏覽”按鈕選擇證書(shū)存儲(chǔ)。

10.出現(xiàn)“選擇證書(shū)存儲(chǔ)”頁(yè)面后，選擇“受信任的根證書(shū)頒發(fā)機(jī)構(gòu)”。

11.回到“證書(shū)存儲(chǔ)”頁(yè)面后，檢查所做的選擇是否是將所有的證書(shū)都放入受信任的根證書(shū)頒發(fā)機(jī)構(gòu)（如圖1），如果沒(méi)有問(wèn)題，按照提示完成證書(shū)導(dǎo)入即可。

12.導(dǎo)入VMware root CA證書(shū)后，關(guān)閉瀏覽器。

13.重新打開(kāi)瀏覽器，登錄 vCenter Server，此時(shí)瀏覽器不再報(bào)證書(shū)錯(cuò)誤之類的提示，說(shuō)明在本地計(jì)算機(jī)信任vSphere root CA證書(shū)后，不再有證書(shū)錯(cuò)誤提示，故障排除。

圖1 查看證書(shū)是否放入受信任的根證書(shū)頒發(fā)機(jī)構(gòu)

圖2 單擊vCenter Server服務(wù)器節(jié)點(diǎn)

證書(shū)過(guò)期的處理

筆者在解決vSphere root CA證書(shū)信任問(wèn)題過(guò)程中，還遇到了證書(shū)過(guò)期的問(wèn)題。按理說(shuō)，自動(dòng)生成的vSphere證書(shū)（含主機(jī)證書(shū)）一般有4-5年的有效期，不容易出現(xiàn)證書(shū)過(guò)期的問(wèn)題。正是因?yàn)関Sphere證書(shū)的有效期比較長(zhǎng)，很多網(wǎng)絡(luò)管理員才不關(guān)注證書(shū)過(guò)期問(wèn)題。不過(guò)，證書(shū)過(guò)期是遲早的事情，畢竟是證書(shū)是有期限的，如果主機(jī)（物理服務(wù)器）時(shí)間出現(xiàn)嚴(yán)重偏差，證書(shū)就比較容易出現(xiàn)過(guò)期的問(wèn)題。處理證書(shū)過(guò)期故障的方法也比較簡(jiǎn)單，找到過(guò)期的證書(shū)，續(xù)訂即可，具體操作過(guò)程如下：

1.登錄到vCenter Server后，單擊頁(yè)面頂部“vmware vSphere Web Client”右側(cè)的主頁(yè)圖標(biāo)按鈕，出現(xiàn)導(dǎo)航菜單后選擇“主頁(yè)”（快捷鍵：Ctrl+Alt+1）。

2.進(jìn)入“主頁(yè)”后，單擊“系統(tǒng)管理”欄目下的“系統(tǒng)配置”圖標(biāo)。

3.進(jìn)入“系統(tǒng)配置”頁(yè)面后，單擊“對(duì)象”選項(xiàng)卡，在對(duì)象列表中單擊vCenter Server服務(wù)器節(jié)點(diǎn)（如圖2）。

4.進(jìn)入vCenter服務(wù)器節(jié)點(diǎn)管理頁(yè)面后，單擊“管理”選項(xiàng)卡，在“管理”選項(xiàng)卡下選擇“證書(shū)頒發(fā)機(jī)構(gòu)”。

5.作為加強(qiáng)的安全措 施，vSphere vCenter Server要求驗(yàn)證密碼后才能查看證書(shū)信息。出現(xiàn)驗(yàn)證密碼頁(yè)面后，單擊“驗(yàn)證密碼”。彈出“輸入密碼”對(duì)話框后，輸入登錄vCenter Server服務(wù)器的密碼即可。

6.此時(shí)可以看到“證書(shū)已過(guò)期或即將過(guò)期”的錯(cuò)誤提示，關(guān)閉錯(cuò)誤提示框。

7.在證書(shū)列表中，觀察“有效期至”列，很容易找到紅色感嘆號(hào)標(biāo)識(shí)的過(guò)期證書(shū)，在“主體”列中可以看到過(guò)期證書(shū)的主體信息。筆者所遇到的過(guò)期證書(shū)是一臺(tái)主機(jī)的證書(shū)，主體列包含了過(guò)期證書(shū)的主機(jī)IP等信息（如圖3所示）。

8.單擊頁(yè)面頂部“vmware vSphere Web Client”右側(cè)的主頁(yè)圖標(biāo)按鈕，出現(xiàn)導(dǎo)航菜單后選擇“主機(jī)和群集”，進(jìn)入主機(jī)和群集頁(yè)面后，雙擊打開(kāi)證書(shū)已過(guò)期的主機(jī)。

9.進(jìn)入主機(jī)配置頁(yè)面后，單擊“配置”選項(xiàng)卡，在“配置”選項(xiàng)卡下選擇頁(yè)面左側(cè)導(dǎo)航菜單“系統(tǒng)”下面的“證書(shū)”。此時(shí)右側(cè)顯示就是該主機(jī)的證書(shū)信息，單擊“續(xù)訂”按鈕即可續(xù)訂證書(shū)（如圖4所示）。

圖3 過(guò)期證書(shū)

圖4 續(xù)訂證書(shū)

10.出現(xiàn)“續(xù)訂證書(shū)”提示窗口后，單擊“是”按鈕為主機(jī)續(xù)訂證書(shū)。在本例中，原過(guò)期證書(shū)的期限是“2013/2/5-2018/2/5”，續(xù)訂證書(shū)后的期限是“2018-11-6-2023/1/30”。

結(jié)語(yǔ)

前面通過(guò)信任證書(shū)排除證書(shū)故障的方法只適用于某臺(tái)需要登錄vCenter Server的電腦，如果在另外一臺(tái)電腦 登 錄vCenter Server，同樣需要下載安裝VMCA生成的root CA證書(shū)。如果想隨時(shí)隨地登錄vCenter Server，而且不受操作系統(tǒng)限制，只能用商業(yè)證書(shū)頒發(fā)機(jī)構(gòu)簽署的證書(shū)替換掉vCenter Server默認(rèn)的證書(shū)（VMCA簽署的證書(shū)）。同理，如果單位的安全策略有相關(guān)證書(shū)要求，如單位有自己的CA，需要使用單位CA簽名的證書(shū)等。

如果沒(méi)有商業(yè)證書(shū)頒發(fā)機(jī)構(gòu)簽署的證書(shū)，單位也沒(méi)有自己的CA，只要單位有Windows服務(wù)器操作系統(tǒng)，還可以將Windows服務(wù)器配置成CA證書(shū)服務(wù)器（Windows Server 2003以上的服務(wù)器系統(tǒng)都可以配置為CA證書(shū)服務(wù)器）。單位有了自己私有證書(shū)服務(wù)器，就可以自定義證書(shū)。

vSphere允許使用商業(yè)證書(shū)頒發(fā)機(jī)構(gòu)簽署的證書(shū)、第三方單位CA或單位私有CA等自定義證書(shū)，在vSphere中將證書(shū)替換自定義證書(shū)的具體替換方法可參考VMware產(chǎn) 品 文 檔“在 vSphere中使用自定義證書(shū)”（網(wǎng)址：https://docs.vmware.com/cn/VMware-vSphere/6.7/com.vmware.psc.doc/GUIDDC693417-78CF-477F-9A4FAFC9AA1D74E7.html）。