使用 Web Access 或 vSphere Client 访问 vCenter Server 失败,并显示 SSL 证书错误
search cancel

使用 Web Access 或 vSphere Client 访问 vCenter Server 失败,并显示 SSL 证书错误

book

Article ID: 305769

calendar_today

Updated On:

Products

VMware vCenter Server

Issue/Introduction

Symptoms:
免责声明:本文为 Accessing a vCenter Server using Web access or vSphere Client fails with an SSL certificate error (1021514) 的翻译版本。尽管我们会不断努力为本文提供最佳翻译版本,但本地化的内容可能会过时。有关最新内容,请参见英文版本。


  • 使用 Web Access 或 vSphere Client 访问 vCenter Server 失败
  • 您会看到以下错误:

    安全警告 (Security Warning)
    证书警告 (Certificate Warnings)
    “vCenter_FQDN”上已安装不可信的 SSL 证书,无法保证安全通信。该问题可能不表示安全问题,具体取决于您的安全策略。可能需要在服务器上安装受信任的 SSL 证书,才能防止出现此警告 (An untrusted SSL certificate is installed on "vCenter_FQDN" and secure communication cannot be guaranteed. Depending on your security policy, this issue might not represent a security concern. You may need to install a trusted SSL certificate on your server to prevent this warning from appearing)。
    单击“忽略”继续使用当前 SSL 证书 (Click Ignore to continue using the current SSL certificate)。


Environment

VMware vCenter Server 4.0.x

Resolution

如果 vCenter Server 的自签名证书不可信,或者在初始安装后 vCenter Server 的 FQDN 或简称已发生更改,则会出现此问题。
要解决此问题,必须为 vCenter Server 创建一个自签名证书。
注意:如果要使用自定义或 CA 签名证书,请参见 Replacing vCenter Server Certificates
要创建自签名证书,请执行以下操作:
  1. http://gnuwin32.sourceforge.net/packages/openssl.htm 下载并安装 OpenSSL。

    注意:截至 2010 年 6 月 2 日,上述链接正确无误。如果您发现链接已损坏,请提供反馈,VMware 员工将会更新该链接。

  2. C:\ 中创建一个名为 openssl 的文件夹
  3. 打开命令提示符并导航到 C:\Program Files\GnuWin32\bin

    注意:您可能需要以管理员身份运行命令提示符,以下命令才会起作用。

  4. 运行以下命令以创建 SSL 证书:


    openssl genrsa 1024 > c:\openssl\rui.key

    openssl req -new -key c:\openssl\rui.key > c:\openssl\rui.csr -config "C:\Program Files\GnuWin32\share\openssl.cnf"

    注意:提供有关证书的所需信息(如国家/地区、组织、姓名和电子邮件 ID),并在 vCenter Server 的“通用名称”字段中提供 FQDN 或 Netbios 名称。不必在此步骤中指定密钥。

    openssl x509 -req -days 730 -in c:\openssl\rui.csr -signkey c:\openssl\rui.key -out c:\openssl\rui.crt

    openssl pkcs12 -export -in c:\openssl\rui.crt -inkey c:\openssl\rui.key -passout pass:testpassword -out c:\openssl\rui.pfx

  5. 要在 vCenter Server 上替换证书,请执行以下操作:
    1. 将现有的 rui.keyrui.crt rui.pfx 文件从 C:\Documents and Settings\All Users\Application Data\VMware\VMware VirtualCenter\SSL\ 复制到备份文件夹。
    2. 将自定义的 rui.keyrui.crt rui.pfx 文件复制到 C:\Documents and Settings\All Users\Application Data\VMware\VMware VirtualCenter\SSL\

      注意:在 Windows Server 2008 中,请将这些文件复制到 C:\ProgramData\VMware\VMware VirtualCenter\SSL\

  6. 停止 VirtualCenter Server 服务。有关详细信息,请参见 Stopping, starting, or restarting vCenter services (1003895)
  7. 要重置数据库密码,请浏览到 vCenter Server 安装所在的根目录,然后运行以下命令:

    vpxd.exe –p

    当系统提示您输入新密码时,请输入现有的数据库密码。当系统提示您确认密码时,请重新输入密码。

  8. 重新启动 VirtualCenter Server 服务。有关详细信息,请参见 Stopping, starting, or restarting vCenter services (1003895)
  9. 要在 vCenter Server 上将证书安装到受信任的根 CA 中,请执行以下操作:

    1. 双击位于 C:\Documents and Settings\All Users\Application Data\VMware\VMware VirtualCenter\SSL\ rui.crt 文件。
    2. 依次单击安装证书下一步下一步
    3. 选择将所有证书放置在以下存储中
    4. 选择受信任的根证书颁发机构证书存储。
    5. 依次单击确定下一步完成

  10. 使用新证书登录到 vCenter Server。
  11. 如果 ESX 主机显示为已断开连接,请右键单击该主机,按照提示操作,然后使用 root 凭据连接该主机。


Additional Information

Accessing a vCenter Server using Web access or vSphere Client fails with an SSL certificate error