建置的過程許多都只是一次性的作業,這對於往後平日的維護工作幫助是非常有限的,因此主動學習更多實用的維護管理技法,對於vSphere系統架構師來說相當重要,因為可以培養出在面對突發性的問題時冷靜且迅速解決各種疑難雜症的能力,由於內容頗為豐富,將分成上下兩篇文章來加以說明。
來到「憑證存放區」頁面後,如圖5所示先點取「將所有憑證放入以下的存放區」選項,再按下〔瀏覽〕按鈕,然後選取「授信任的根憑證授權單位」的存放區,最後按下〔下一步〕按鈕來完成此匯入作業即可。請注意!若有多個.cer檔案,記得重複上述操作。
 |
| ▲圖5 設定憑證存放區。 |
成功匯入後,便可以在「授信任的根憑證授權單位」節點頁面中,看到剛剛匯入的憑證項目,如圖6所示。若進一步開啟其內容,則可檢視到憑證的完整資訊。
 |
| ▲圖6 管理本機電腦憑證。 |
確認完成匯入vCenter Server憑證檔案後,立即開啟IE或Chrome瀏覽器來連線vCenter首頁,如圖7所示,將發現瀏覽器不會再出現憑證的錯誤訊息,而網址列中原本的警示圖示也消失了。進一步開啟vSphere Web Client的登入頁面,當然也不會再出現相同的問題了。
 |
| ▲圖7 重新連線vCenter網站。 |
如何善用群組原則大量部署vCenter憑證
以手動方式來匯入vCenter Server的憑證至IT人員的電腦上,雖然可以解決瀏覽器連線時的憑證錯誤問題,但這畢竟比較適用在小型的IT環境內,因為在大型的企業IT環境內,光是各個營運據點負責維護vSphere平台的IT人員可能就有數十位之多,在這種情境之下,肯定需要更有效率的憑證安裝機制。
對此,建議善用Active Directory的Group Policy(群組原則)功能,來解決憑證檔案集中安裝的問題,這也包括了對於未來新版本vCenter Server憑證的部署。
 |
| ▲圖8 利用群組原則管理介面。 |
實作的方法很簡單,如圖8所示只要在開啟「群組原則管理」介面,然後選擇編輯現有的群組原則設定。當然,實務上的做法應該是建立一個新的群組原則設定,然後將它套用在vSphere管理人員的組織容器內,再進行編輯。
在開啟群組原則編輯頁面後,展開至「電腦設定」→「原則」→「Windows設定」→「安全性設定」→「公開金鑰原則」→「受信任的根憑證授權單位」節點,然後如圖9所示在任一空白處按下滑鼠右鍵,並點選快速選單中的【匯入】。
 |
| ▲圖9 編輯群組原則。 |
接著就如同在單機的憑證匯入程序一般,只要如圖10所示將憑證檔案全部放入「受信任的根憑證授權單位」的存放區內即可。
 |
| ▲圖10 設定憑證存放區。 |
再次回到「公開金鑰原則」→「受信任的根憑證授權單位」節點頁面,便會立即看到剛剛匯入的所有vCenter Server憑證,如圖11所示。
 |
| ▲圖11 管理受信任的根憑證授權單位。 |
在群組原則中成功匯入憑證檔案之後,該如何讓這些檔案立即出現在受套用的網域電腦內呢?方法不難,只要在這些電腦上開啟系統管理員命令提示字元,然後如圖12所示下達「gpupdate /force」命令來立即更新群組原則即可。而對於沒有下達此命令的電腦而言,則會在下一回啟動系統時自動完成更新。
 |
| ▲圖12 更新群組原則。 |