仮想化でプリセールスしてるSEの一日

VMware から Azure まで、インフラや仮想化の最新情報をベンダー色をできるだけ抑えて綴っていきます

vSphere 6.0 の覚え書き - Web Client の SSL 証明書エラーを消す (簡易版)

f:id:ogawad:20190203195705p:plain:right


私はプリセールスですが、たまにユーザー企業を訪問して VMwareHyper-V などの本番環境を見せてもらうことがあります。
今回のタイトルにもある、vSphere Web Client の SSL 証明書をエラーのまま使っている本番稼働しているのは、肌感覚で 6 〜 7 割といったところでしょうか。



つまり、6 〜 7 割は「別に良いかな…」と思っているということになりますが、たまに感謝されたり深い質問をされることもあります。
というわけで、ちょうど先日ある方より質問いただいた
PKI (CA) 基盤の無い環境でも証明書エラーを出さない方法」
を簡単にご紹介したいと思います。

SSL サーバー証明書を正規版に差し替えずにエラーを消す方法

IE の場合、「証明書のインストール」でルート証明機関にインポートしても回避できない SSL サーバー証明書があります。残念なことに VMware vCenter Server も以前よりこのタイプです。

vCenter Server 6.0 の場合、ブラウザを開いてアドレスバーに vCenter Server のアドレスだけ入力して http アクセスしてみると https (443) にリダイレクトされ、次の画面が表示されます。


右下にある「信頼されたルート CA 証明書をダウンロード」をクリックし、download という拡張子の無いファイルをダウンロードします。


実はこれ、zip ファイルです。
拡張子 .zip を付与してエクスプローラーで解凍すると、certs というフォルダの中に ****.0****.r1 というファイルが入っています。


これらはそれぞれ Base64 形式の 証明書本体失効リスト です。
Windows で馴染みの深い拡張子に変更すると、エクスプローラーに無事認識されます。

  • ****.0 → ****.crt
  • ****.r* → ****.crl


エクスプローラーで認識されれば後はラクですね。
crt, crl の順で右クリックメニューから証明書をインストールします。
保管場所は「現在のユーザー」を選べば自分のみ、「ローカル コンピューター」を選べば全ユーザーに反映です。


証明書ストアは「信頼されたルート証明機関」を選びます。


crt, crl の両方をインポートしたら、IE を立ち上げ直してもう一度アクセスしてみてください。証明書エラーが出ないはずです。


複数の管理端末に一括インポートする方法

Web Client へアクセスする端末が大量にある場合、端末が AD に参加していればグループポリシーで一括配布できます。次の場所です。