PowerCLI ‘da “The SSL connection could not be established” Sertifika Doğrulama Sorunu Giderilmesi

Otomasyonun gücü sistem yöneticilerinin omuzlarındaki tekrarlayan görev yükünü hafifletir. VMware dünyasında bu gücü en iyi temsil eden araçlardan biri olan PowerCLI günlük yönetim görevlerini hızlandırmak ve sistemleri komut satırından kolayca kontrol etmek için vazgeçilmezdir. Ancak bazı durumlarda PowerCLI komutları özellikle ilk bağlantı kurma aşamasında aşağıdaki gibi beklenmedik bir hatayla duraksayabilir:

“Connect-VIServer : The SSL connection could not be established, see inner exception.”

Bu makalemde bu hatanın neden kaynaklandığını, nasıl çözülebileceğini, ve üretim ile test ortamları için farklı sertifika yapılandırma stratejilerini tüm detaylarıyla ele alacağız. Ayrıca Ubuntu gibi Linux sistemlerde PowerCLI kurulumu ve kullanımı hakkında da ipuçları sunacağız.

Hata Mesajının Anlamı Nedir?

Bu hata, PowerCLI’nin Connect-VIServer komutuyla vCenter Server’a bağlanmaya çalışırken, sunucudan dönen SSL/TLS sertifikasını doğrulayamadığı anlamına gelir. PowerShell ortamı, bağlantı kurulacak vCenter sunucusunun sertifikasının geçersiz olduğunu düşündüğü için bağlantıyı keser.

Bu doğrulama hatasının nedenleri şunlar olabilir:

• vCenter sunucusu self-signed (kendinden imzalı) bir sertifika kullanıyor olabilir.
• Sertifika sisteminizin tanımadığı bir özel CA (Certificate Authority) tarafından imzalanmış olabilir.
• Sertifikanın süresi dolmuş veya sunucu adı (CN ya da SAN) uyumsuz olabilir.
• PowerCLI’nin sertifika politikası, bu tür durumlara izin vermeyecek şekilde ayarlanmış olabilir (InvalidCertificateAction = Unset veya Fail).

Bu durumda yapılması gereken ilk iş mevcut PowerCLI yapılandırmasını incelemektir.

Mevcut PowerCLI Yapılandırmasını Görüntüleme

PowerCLI ortamınızın sertifika davranışını kontrol etmek için şu komutu çalıştırın:

Get-PowerCLIConfiguration

Çıktıda şu bölüme dikkat etmelisiniz.

Scope    ProxyPolicy     DefaultVIServerMode    InvalidCertificateAction
-----    -----------     --------------------    ------------------------
Session  UseSystemProxy  Multiple                Unset

Bu komut çıktıısndaki InvalidCertificateAction = Unset ya da Fail olduğunda, geçersiz sertifikalar reddedilir. Ignore olarak ayarlanırsa geçersiz sertifikalar yok sayılır ve bağlantı sağlanabilir.

Geçici veya Test Ortamları İçin Çözüm: Sertifika Doğrulamasını Devre Dışı Bırakmak

Test, POC (proof of concept) ya da geçici ortamlarda self-signed veya geçersiz sertifikaların kullanılması olağandır. Bu tür senaryolarda PowerCLI’ye bu sertifikaları kabul etmesini söyleyebilirsiniz.

Set-PowerCLIConfiguration -InvalidCertificateAction Ignore -Scope Session -Confirm:$false

Bu ayar yalnızca geçerli oturum için uygulanır. Eğer tüm kullanıcılar için kalıcı hale getirmek isterseniz.

Set-PowerCLIConfiguration -InvalidCertificateAction Ignore -Scope AllUsers -Confirm:$false

Artık Connect-VIServer komutunu kullanarak bağlantı kurabilirsiniz.

Connect-VIServer -Server vcsa.contoso.local -User administrator@vsphere.local -Password 'Passw0rd.1'

Güvenlik Notu: Bu Ayar Üretim Ortamları İçin Önerilmez

“Ignore” seçeneği, geçersiz, sahte veya süresi dolmuş tüm sertifikaların sorgusuz kabul edilmesini sağlar. Bu da man-in-the-middle (MITM) gibi saldırılara açık bir yapı oluşturabilir. Üretim ortamlarında önerilen yöntem şudur:

• Geçerli, süresi dolmamış, uygun sunucu adı içeren bir SSL sertifikası kullanın.
• Sertifikanın ait olduğu CA’nın root sertifikasını istemci sisteminize ekleyin.

Alternatif Çözüm: Sertifikayı Güvenilir Hale Getirmek

Eğer “ignore” ayarını kullanmak istemiyorsanız sertifikayı sisteminize güvenilir olarak tanıtmak en doğrusudur:

1. vCenter Sertifikasını İndirin:

Web tarayıcınızda vCenter’ın arayüzüne bağlanın.

https://vcsa.contoso.local

Sertifikayı tarayıcı üzerinden dışa aktarın (.crt formatında).

2. Sertifikayı Güvenilir CA Havuzuna Ekleyin:

• Windows sistemde: certlm.msc açın → Trusted Root Certification Authorities → Certificates → Import
• Linux/Ubuntu sistemde:

sudo cp vcsa.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates

Artık PowerCLI bu sertifikayı geçerli olarak kabul edecek ve bağlantı sorunu yaşamayacaksınız.

Ubuntu’ya PowerShell Kurulumu:

sudo apt update
sudo apt install -y wget apt-transport-https software-properties-common
wget -q https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
sudo apt update
sudo apt install -y powershell

PowerCLI Modülü Kurulumu:

Install-Module -Name VMware.PowerCLI -Scope CurrentUser

Kurulumdan sonra yukarıdaki Set-PowerCLIConfiguration ve Connect-VIServer komutlarını aynı şekilde kullanabilirsiniz.

“The SSL connection could not be established” hatası ilk bakışta karmaşık görünse de altında yatan sebep çoğu zaman sertifika doğrulama politikası ile ilgilidir. İster test ister üretim ortamı olsun bu davranışın nasıl çalıştığını anlamak size sadece bu hatayı çözmekle kalmaz PowerCLI ortamınızı daha güvenli ve sürdürülebilir hale getirme imkânı da sunar.