Bu hata, vSphere Web Client veya HTML5 arayüzü üzerinden vCenter’a erişmeye çalıştığınızda, vCenter Server’ın kimlik doğrulama sunucusu (SSO: Single Sign-On) ile güvenli bağlantı kuramadığı anlamına gelir. Sorunun temelinde genellikle aşağıdaki senaryolardan biri yatar:
- SSL sertifikasının süresi dolmuş
- Sertifika zinciri eksik veya doğrulanamıyor
- Thumbprint doğrulaması yapılandırılmamış
- Custom CA kullanımı sırasında yapılandırma hataları
- Tarayıcı kaynaklı cache/sertifika güven hataları
Bu durumlarda, hem kullanıcı arayüzü hem de API erişimi kesintiye uğrar; otomasyon görevleri başarısız olur ve ortam yönetilemez hale gelir.
An error occurred during authentication. Back to login screen
[400] An error occurred while sending an authentication request to the vCenter Single Sign-On server - com.vmware.vim.vmomi.client.exception.SslException: CertificateValidationException: Server certificate chain is not trusted and thumbprint verification is not configured.2. Teknik Arka Plan: vCenter ve Sertifika Mimarisi
2.1 vCenter’da Sertifika Rolleri
vCenter Server aşağıdaki sertifika türlerini kullanır:
- Machine SSL Certificate
– Web arayüzü ve servislere HTTPS ile erişim için kullanılır - Solution User Certificates
– SSO bileşenleri arası güvenli iletişim (vpxd, vpxd-extension, vsphere-webclient vb.) - Trusted Root CA Certificate
– Diğer sertifikaları imzalayan ana otorite (VMCA veya 3rd Party CA) - STS Signing Certificate
– Security Token Service tarafından verilen oturum belirteçlerinin doğruluğunu garanti eder (kritik)
2.2 Sertifikaların Geçerlilik Süresi
VMCA (VMware Certificate Authority) tarafından otomatik olarak oluşturulan sertifikaların geçerlilik süresi:
- Machine SSL: 2 yıl
- Root CA (VMCA): 10 yıl
Süre dolduğunda ya da sertifika güvenli değilse, vCenter servisleri kendileriyle bile haberleşemez hale gelir.
3. Sorunun Tanısı: Sertifikalar Gerçekten Süresi Mi Dolmuş?
3.1 SSH Üzerinden Kontrol
vCenter Server Appliance’a SSH ile bağlanın ve şu komutla mevcut root sertifikayı kontrol edin.
openssl x509 -in /var/lib/vmware/vmca/root.cer -noout -datesAlternatif olarak, aşağıdaki komutla tüm sertifikaları kontrol edebilirsiniz.
/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store MACHINE_SSL_CERT --textÇıktıda Not After: satırı sertifikanın geçerlilik süresini gösterir. Geçmişse veya yaklaşmışsa, işlem yapılması gerekir.
4. Çözüm: Sertifika Yenileme İşlemi
4.1 Hazırlık ve Ön Koşullar
- SSH erişimi aktif olmalı
rootkullanıcı şifresi elinizde olmalı- Administrator SSO hesabı (
administrator@vsphere.local) ve parolası bilinmeli - İşlem sırasında snapshot veya backup alınması önerilir
4.2 Bash Shell’e Geçiniz
shellArdından sertifika yöneticisini başlatın.
/usr/lib/vmware-vmafd/bin/certificate-manage5. Sertifika Manager Seçenekleri Açıklaması
| Seçenek | Açıklama |
|---|---|
| 1. Replace Machine SSL with Custom | Dış kaynaklı özel sertifika ile değiştir |
| 2. Replace vCenter Server and Host Certificates with Custom | Tüm vCenter & Host sertifikalarını özel CA ile değiştir |
| 3. Regenerate Machine SSL Certificate | Mevcut Machine SSL sertifikasını VMCA ile yeniden üretir |
| 4. Regenerate vCenter Server and Host Certificates | Tüm sertifikaları VMCA ile otomatik yeniden üretir (tercih edilen) |
| 5. Replace Solution User Certificates | Sadece çözüm kullanıcı sertifikalarını değiştir |
| 6. Replace All Certificates with Custom | Tam sertifika sil ve özel CA sertifikası kur (dikkatli olunmalı) |
| 7. Reset All Certificates | Varsayılan fabrika ayarına dön |
En Güvenli ve Kolay Yol:
Seçenek 4 – Regenerate vCenter Server and Host Certificates
Gerekli Bilgilerin Girişi
Aşağıdaki örnek bilgileri kullanabilirsiniz:
| Bilgi Türü | Örnek |
|---|---|
| Administrator | administrator@vsphere.local |
| Country | TR |
| Name (CN) | vcenter.sirketiniz.local |
| Organization | ABC Teknoloji A.Ş. |
| OrgUnit | Bilgi İşlem |
| IP Address | 192.168.10.50 |
| Hostname (FQDN) | vcenter.sirketiniz.local |
| VMCA Name | vcenter.sirketiniz.local |
Girdikten sonra sistem yeni sertifikaları otomatik olarak üretir.
7. Süreç Sonrası: vCenter Servisleri ve Erişim
Sertifika işlemi tamamlandığında:
- vCenter servisleri (vpxd, vmware-sso, vmware-stsd vb.) yeniden başlatılır
- Ortalama 10–20 dakika erişim kesilir
- Sonrasında şu adrese erişim tekrar sağlanır:
https://[VCSA_IP]/uiGerekirse tarayıcı cache temizlenmeli ya da FQDN üzerinden erişilmelidir.
8. İleri Senaryo: Özel (Custom) Sertifika Kullanımı
Kurumsal ortamlarda genellikle şirket içi CA (Certificate Authority) ile imzalanmış özel sertifikalar tercih edilir. Bu durumda:
- CSR (Certificate Signing Request) oluşturulur:
/usr/lib/vmware-vmca/bin/certool --genkey --privkey private.key --cert cert.csr- CA’den imzalanan sertifika alınır
- Certificate Manager’da Seçenek 1, 2 veya 6 ile yüklenir
Not: Bu süreçte ara (intermediate) sertifikaların da eksiksiz eklenmesi gerekir. Zincir hatası olursa sistem çökebilir.
9. Best Practices – En İyi Uygulamalar
- Sertifika yenileme tarihlerini izlemek için cron + script veya vROPS uyarıları kullanın
- Sertifika süresi bitmeden 30 gün önce hatırlatıcı takvim oluşturun
- Dış sertifika kullanıyorsanız, zincir (CA > Intermediate > Server) tamam olmalı
- Snapshot almadan işlem yapılmamalı
- SSO STS Signing Certificate güncellemesi unutulmamalı (KB 76719)
Kaynaklar
https://knowledge.broadcom.com/external/article?legacyId=76719
https://knowledge.broadcom.com/external/article?legacyId=2113926
