При подключении к серверу VMWare vCenter с помощью браузера появляется предупреждение об использовании самоподписанного сертификата, выданного недоверенным центром сертификации. В Firefox и других браузерах это предупреждение убирается простым добавление сайта vCenter в список исключений, в Internet Explorer все несколько сложнее.
SSL сертификаты, устанавливаемые по умолчанию с серверами ESXi и vCenter являются самоподписанными, и, соответственно, другие системы не доверяют им, выдавая предупреждение или блокируя соединение с такими сайтами. Чтобы отключить предупреждение о самоподписанном сертификате, можно добавить самоподписанный сертификат в список доверенных или заменить сертификат на собственный, выданный доверенным центром сертификации. Мы рассмотрим первый вариант, процедура в общем-то достаточно тривиальная, но есть несколько не вполне очевидных моментов.
Итак, при открытии веб страницы сервера vCenter в браузере появляется окно со следующим предупреждением:
The security certificate presented by this website was not issued by a trusted certificate authority.
The security certificate presented by this website was issued for a different website’s address.
Security certificate problems may indicate an attempt to fool you or intercept any data you send to the server.
Нажав на ссылку Continue to this website link (not recommended), можно перейти на стартовую страницу vCenter. Чтобы скачать сертификат, нажмите на ссылку Download trusted root CA certificates.
Сохраните файл в произвольный каталог. Имя файла download (у файла нет расширения).
Затем меняем расширение файла download на download.zip и распакуем его с помощью встроенного архиватора (Extract All).
Внутри содержимого архива cert находиться 2 файла, у одного расширение .0 , у второго .r0. Изменим расширение файла .0 на .cer.
Осталось добавить данный сертификат корневого CA в список доверенных. Предположим мы хотим, чтобы этому сертификату было доверие только у текущей учетной записи. Откроем консоль certmgr.msc, перейдем в раздел Certificates > Trusted Root Certification Authorities. И в контекстном меню откроем мастер импорта сертификата (Import).
Выберем файл сертификата, полученный ранее, и поместим его в хранилище Trusted Root Certification Authorities.
Подтверждаем добавление сертификата.
Новый сертификат с именем CA должен появиться в списке.
Еще раз откроем страницу vCenter в браузере. Предупреждение не должно появиться.
Указанная инструкция применима к vCenter Server Appliance, в случае использования Windows vCenter Server, скачать файл сертфиката таким образом не удастся, т.к. ссылка на загрузку архива с сертификатом будет отсутствовать. Этот файл хранится на сервере vCenter Server (под Windows) в каталоге C:\ProgramData\VMware\SSL\. (в более старый версиях C:\Programdata\VMware\VMware VirtualCenter\SSL). Сертификат из этого каталога аналогичным образом нужно импортировать на клиенте.
а как изменить на серт от внутреннего центра сетов?
Certificate Authority -> Root Certificate ->Replace Certificate
Тоже интересует вопрос, как выпустить для него серт от внутреннего CA и запилить?
vCenter server
Можно по подробнее? на VCSA Windows Server?
Полноценная документация по замене сертификата на VMware vSphere есть в статьях KB на сайте вендора: _https://kb.vmware.com/s/article/2111219