估计大多数使用vCenter Server管理服务器的网管员都遭遇过vSphere证书故障，很多人都认为出现vSphere证书错误算不得什么故障，只是在登录vCenter Server时报错，使用起来不太方便而已。其实，笔者也是这样认为的，也总遇到证书错误之类的现象，从来没有重视过这类故障。

最近笔者在排除存储故障过程中，总有证书错误提示。在删除故障存储的错误报警中，报证书错误的也不少，正是受证书错误影响，使笔者的存储故障排除过程更加曲折。

事情的经过是这样的，某客户单位的网管员要笔者帮助他删除有故障的网络存储（从存储列表清单中删除故障存储），笔者尝试了很多办法，包括断电等措施，就是也不能将故障存储从列表中删除，删除过程中经常报证书错误（有时也报其他错误）。正是因为总出现证书错误，笔者不得不把精力转向排除证书故障上。经过几番周折，发现根本不是证书故障的原因，原来是某些对象和故障存储之间存在某种映射关系，所以无法将故障存储从存储列表删除。

证书错误对管理的影响

事实上，出现vSphere证书错误后，不只是操作不便，也不仅仅是影响故障分析和判断，它还会影响vSphere的某些功能能否正常使用。下面列举的就是出现证书错误后对管理功能的影响：

1.使 用Web Access或vSphere Client访 问vCenter Server时失败，此时显示的是SSL证书错误（1021514）。

2.在vSphere Web Client中查看VMware证书颁发机构详细信息时失败，此时显示的是无法从VMware证书颁发机构获取证书（2115941）。

3.将文件上传到内容库或网络存储时，提示不信任证书或操作因未知原因失败，无法将文件上传到网络或主机存储上。

4.在部署OVF或OVA模板时，提示不信任证书或操作因未知原因，最终无法完成部署操作。

5.添加主机时报证书错 误“Error:The Root CA certificate is missing or failed to Initialize（70000）”，无法将主机添加到vCenter数据中心。

……

出现证书错误后，可能影响的管理功能远不止这些，因此，遇到vSphere证书错误后，及时排除故障还是很有必要的。

vSphere证书

这里所指的vSphere证书其实就是数字证书。默认情况下，安装部署vSphere vCenter Server后，vCenter Server用的是VMware自己签发的数字证书。

vSphere用数字证书加密通信，对服务进行身份验证，对令牌进行签名等措施来提供通讯的安全性。vSphere数字证书使用的是X.509 v3标准的数字证书，用来加密通过组件之间的安全套接字层协议连接发送的会话信息，包括用vSphere数字证书加密vCenter Server系统与其管理的每个ESXi主机之间的通信，对vSphere服务进行身份验证，并使用SSL提供的证书验证某些功能要求，如vSphere Fault Tolerance等。在执行某些内部操作时，也会使用vSphere证书，如对令牌进行签名。也就是说，只要vSphere报证书错误或浏览器报证书错误，不仅仅是在连接vCenter Server过程中操作繁琐一点的问题，还可能会影响vCenter部分功能的使用，如前面所列举的证书错误故障。

在本地计算机信任vSphere证书

VMware Certificate Authority（VMware证书颁发 机 构，VMCA）是vCenter Server的一个服务。默认情况下，安装vCenter Server后，VMCA会自动为vCenter Server生成root CA证书，显然，这些自动生成的证书并不是由商业证书颁发机构（CA）签署的。Firefox、Internet Explorer、Opera、Safari 以及Google Chrome等浏览器内置了早就确定的根证书列表，这就是使用主流CA发布的证书SSL都直接可以正常使用，而使用VMCA发布的证书SSL不能正常使用的原因。例如，在使用IE等浏览器登录vCenter Server时，会出现“此站点不安全”错误提示。由此可见，只要在本地计算机安装并信任vSphere证书，让浏览器信任VMCA签署的root CA证书，就可以解决证书故障的问题。

1.打开浏览器后，输入vCenter Server的访问地址，出现“此站点不安全”页面后，单击“详细信息”后，再单击“转到此网页（不推荐）”，即可进入 vCenter Server首页。

2.进入vCenter Server首页后，此时在浏览器地址栏右侧会出现“证书错误”字样。

3.单击“证书错误”可以了解到如下错误信息：

·不受信任的证书

·此网站出具的安全证书不是由受信任的证书颁发机构颁发的

·此问题表明可能有人试图欺骗你或截获你向服务器发送的数据

·建议关闭此网页。

4.进 入v C e n t e r Server“入门”页面后，单击页面右下侧的“下载受信任的root CA证书”，下载root CA证书。

5.下载的root CA证书是一个ZIP压缩文件，下载并保存该压缩文件后，将压缩文件解压到本地磁盘。

6.将root CA证 书ZIP压缩文件解压后有“lin”“mac”“win”三个文件夹，分别适用于Linux、Mac OS和Windows操作系统。在本例中，用来登录vCenter Server的计算机采用的是Windows操作系统，双击“win”文件夹下扩展名“crt”的安全证书即可安装证书。

7.出 现“证 书”窗口后，单击“安装证书”按钮，安装从vCenter Server下载的由VMCA签署的root CA证书。

8.出现“证书导入向导”页面后，选择“本地计算机”。

9.出现“证书存储”页面后，选择“将所有的证书都放入下列存储”，单击“浏览”按钮选择证书存储。

10.出现“选择证书存储”页面后，选择“受信任的根证书颁发机构”。

11.回到“证书存储”页面后，检查所做的选择是否是将所有的证书都放入受信任的根证书颁发机构（如图1），如果没有问题，按照提示完成证书导入即可。

12.导入VMware root CA证书后，关闭浏览器。

13.重新打开浏览器，登录 vCenter Server，此时浏览器不再报证书错误之类的提示，说明在本地计算机信任vSphere root CA证书后，不再有证书错误提示，故障排除。

图1 查看证书是否放入受信任的根证书颁发机构

图2 单击vCenter Server服务器节点

证书过期的处理

笔者在解决vSphere root CA证书信任问题过程中，还遇到了证书过期的问题。按理说，自动生成的vSphere证书（含主机证书）一般有4-5年的有效期，不容易出现证书过期的问题。正是因为vSphere证书的有效期比较长，很多网络管理员才不关注证书过期问题。不过，证书过期是迟早的事情，毕竟是证书是有期限的，如果主机（物理服务器）时间出现严重偏差，证书就比较容易出现过期的问题。处理证书过期故障的方法也比较简单，找到过期的证书，续订即可，具体操作过程如下：

1.登录到vCenter Server后，单击页面顶部“vmware vSphere Web Client”右侧的主页图标按钮，出现导航菜单后选择“主页”（快捷键：Ctrl+Alt+1）。

2.进入“主页”后，单击“系统管理”栏目下的“系统配置”图标。

3.进入“系统配置”页面后，单击“对象”选项卡，在对象列表中单击vCenter Server服务器节点（如图2）。

4.进入vCenter服务器节点管理页面后，单击“管理”选项卡，在“管理”选项卡下选择“证书颁发机构”。

5.作为加强的安全措 施，vSphere vCenter Server要求验证密码后才能查看证书信息。出现验证密码页面后，单击“验证密码”。弹出“输入密码”对话框后，输入登录vCenter Server服务器的密码即可。

6.此时可以看到“证书已过期或即将过期”的错误提示，关闭错误提示框。

7.在证书列表中，观察“有效期至”列，很容易找到红色感叹号标识的过期证书，在“主体”列中可以看到过期证书的主体信息。笔者所遇到的过期证书是一台主机的证书，主体列包含了过期证书的主机IP等信息（如图3所示）。

8.单击页面顶部“vmware vSphere Web Client”右侧的主页图标按钮，出现导航菜单后选择“主机和群集”，进入主机和群集页面后，双击打开证书已过期的主机。

9.进入主机配置页面后，单击“配置”选项卡，在“配置”选项卡下选择页面左侧导航菜单“系统”下面的“证书”。此时右侧显示就是该主机的证书信息，单击“续订”按钮即可续订证书（如图4所示）。

图3 过期证书

图4 续订证书

10.出现“续订证书”提示窗口后，单击“是”按钮为主机续订证书。在本例中，原过期证书的期限是“2013/2/5-2018/2/5”，续订证书后的期限是“2018-11-6-2023/1/30”。

结语

前面通过信任证书排除证书故障的方法只适用于某台需要登录vCenter Server的电脑，如果在另外一台电脑 登 录vCenter Server，同样需要下载安装VMCA生成的root CA证书。如果想随时随地登录vCenter Server，而且不受操作系统限制，只能用商业证书颁发机构签署的证书替换掉vCenter Server默认的证书（VMCA签署的证书）。同理，如果单位的安全策略有相关证书要求，如单位有自己的CA，需要使用单位CA签名的证书等。

如果没有商业证书颁发机构签署的证书，单位也没有自己的CA，只要单位有Windows服务器操作系统，还可以将Windows服务器配置成CA证书服务器（Windows Server 2003以上的服务器系统都可以配置为CA证书服务器）。单位有了自己私有证书服务器，就可以自定义证书。

vSphere允许使用商业证书颁发机构签署的证书、第三方单位CA或单位私有CA等自定义证书，在vSphere中将证书替换自定义证书的具体替换方法可参考VMware产 品 文 档“在 vSphere中使用自定义证书”（网址：https://docs.vmware.com/cn/VMware-vSphere/6.7/com.vmware.psc.doc/GUIDDC693417-78CF-477F-9A4FAFC9AA1D74E7.html）。