如何下载和安装 vCenter Server root 证书以避免出现 Web 浏览器证书警告
Article ID: 301395
Updated On:
Products
VMware vCenter Server
VMware vSphere ESXi
Issue/Introduction
Symptoms:
免责声明:本文为 How to download and install vCenter Server root certificates to avoid Web Browser certificate warnings (2108294) 的翻译版本。尽管我们会不断努力为本文提供最佳翻译版本,但本地化的内容可能会过时。有关最新内容,请参见英文版本。
使用 vSphere Web Client 连接到 vCenter Server 系统时,Web 浏览器显示类似以下内容的消息:
免责声明:本文为 How to download and install vCenter Server root certificates to avoid Web Browser certificate warnings (2108294) 的翻译版本。尽管我们会不断努力为本文提供最佳翻译版本,但本地化的内容可能会过时。有关最新内容,请参见英文版本。
使用 vSphere Web Client 连接到 vCenter Server 系统时,Web 浏览器显示类似以下内容的消息:
- 此网站的安全证书存在问题 (There is a problem with this website's security certificate)
- 不是专用连接 (The connection is not private)
- 连接不可信 (This connection is untrusted)
- ERR_CERT_AUTHORITY_INVALID
- NET:ERR_CERT_AUTHORITY_INVALID
Environment
VMware vCenter Server Appliance 6.0.x
VMware vSphere ESXi 6.0
VMware vCenter Server 6.0.x
VMware vSphere ESXi 6.0
VMware vCenter Server 6.0.x
Resolution
解决此问题的方式取决于您的站点环境、VMCA 是否为中间证书以及您的 Web 浏览器是使用操作系统证书存储(Internet Explorer、Chrome)还是管理其自己的证书存储 (Firefox)。
小型部署中的证书下载
如果您的环境具有以下特性,则此过程适合您:
- 使用 Windows 操作系统证书存储的 Web 浏览器,例如 Internet Explorer 或 Google Chrome。
- 一个或两个客户机连接到 vCenter Server 安装的小型部署。
- 使用默认证书或自定义证书。
您可以下载 VMware Certificate Authority (VMCA) root 证书和叶证书,然后将其添加到要从中连接到 vCenter Server 系统的系统的操作系统 root 存储。
- 从客户端系统 Web 浏览器中,转到 vCenter Server 系统或 vCenter Server 虚拟设备的 base URL,不要附加端口号或 "vSphere-client" 扩展名。
例如:
https://vcenter.domain.com/ - 单击右侧灰色框底部的下载受信任的 root CA 证书链接,然后下载该文件。
- 将文件的扩展名更改为.zip。
该文件为 VMware 端点证书存储 (VECS) 中所有 root 证书和所有 CRL 的 ZIP 文件。 - 解压该 ZIP 文件的内容。
解压后为包含两种文件的.certs文件夹。具有数字扩展名(.0和.1等)的文件为 root 证书。具有以 r 开头的扩展名(.r0和. r1等)的文件为与证书相关的 CRL 文件。 - 通过执行适合您操作系统的过程将这些证书文件作为受信任证书进行安装。
对于大多数 Microsoft Windows 系统,可以遵循以下网址的的说明:https://technet.microsoft.com/en-us/library/cc754841.aspx
Firefox 具有自己的受信任 root 存储且不使用操作系统存储。如果您使用的是 Firefox,则按照上述内容下载证书,然后选择工具 > 选项,单击高级,再单击证书以将证书导入到 Firefox。
将 VMCA 作为中间证书颁发机构的部署中的 Active Directory 组策略更新
如果您的环境具有以下特性,则此过程适合您:
- 使用 Windows 操作系统证书存储的 Web 浏览器,例如 Internet Explorer 和 Google Chrome。
- 从多个不同的计算机访问 vCenter Server 系统。
- VMCA 设置为中间 CA。
您可以将 root 证书导入到 Active Directory 环境的组策略,从而使这些证书在 Active Directory 域中受信任。这些证书受信任后,属于 Active Directory 域的任何计算机上都不会再显示浏览器错误。
- 从客户端系统 Web 浏览器中,转到 vCenter Server 系统或 vCenter Server 虚拟设备的 base URL,不要附加端口号或 "vSphere-client" 扩展名。
例如:
https://vcenter.domain.com/。 - 单击右侧灰色框底部的下载受信任的 root CA 证书链接,然后下载该文件。
- 将文件的扩展名更改为.zip。
该文件为 VMware 端点证书存储 (VECS) 中所有 root 证书和所有 CRL 的 ZIP 文件。 - 解压缩该 ZIP 文件。
解压后为包含两种文件的.certs文件夹。具有数字扩展名(.0和.1等)的文件为 root 证书。将扩展名更改为 .crt。具有以 r 开头的扩展名(.r0和. r1等)的文件为与证书相关的 CRL 文件。将扩展名更改为 .crl。 - 打开 Active Directory 组策略管理编辑器。
- 打开公钥策略,然后选择中间证书颁发机构。
- 添加已下载的证书文件或 CRL 文件。
- 从 Windows 命令提示符中,运行gpupdate /force强制进行更新。
Firefox 具有自己的受信任 root 存储且不使用操作系统存储。如果您使用的是 Firefox,则按照上述内容下载证书,然后选择工具 > 选项,单击高级,再单击证书以将证书导入到 Firefox。
具有自定义证书或 VMCA 签名证书的部署中的 Active Directory 组策略更新
如果您的环境具有以下特性,则此过程适合您:
- 使用 Windows 操作系统证书存储的 Web 浏览器,例如 Internet Explorer 和 Google Chrome。
- 从多个不同的计算机访问 vCenter Server 系统。
- 使用在环境中不受信任的 CA 的 root 证书。该 CA 可以是 VMCA 或其他不受信任的 CA。
- 从客户端系统 Web 浏览器中,转到 vCenter Server 系统或 vCenter Server 虚拟设备的 base URL,不要附加端口号或 "vSphere-client" 扩展名。
例如:
https://vcenter.domain.com/。 - 单击右侧灰色框底部的下载受信任的 root CA 证书链接,然后下载该文件。
- 将文件的扩展名更改为.zip。
该文件为 VMware 端点证书存储 (VECS) 中所有 root 证书和所有 CRL 的 ZIP 文件。 - 解压该 ZIP 文件的内容。
解压后为包含两种文件的.certs文件夹。具有数字扩展名(.0和.1等)的文件为 root 证书。将扩展名更改为 .crt。具有以 r 开头的扩展名(.r0和. r1等)的文件为与证书相关的 CRL 文件。将扩展名更改为 .crl。 - 打开 Active Directory 组策略管理编辑器。
- 打开公钥策略,然后选择受信任 root 证书颁发机构。
- 添加已下载的证书文件或 CRL 文件。
- 从 Windows 命令提示符中,运行gpupdate /force强制进行更新。
Firefox 具有自己的受信任 root 存储且不使用操作系统存储。如果您使用的是 Firefox,则按照上述内容下载证书,然后选择工具 > 选项,单击高级,再单击证书以将证书导入到 Firefox。
Additional Information
Feedback
Yes
No
Powered by
