ESXI默认证书在浏览器内访问不受信任并会提示站点不安全,本文从零开始讲解申请阿里云免费SSL证书并替换ESXI默认SSL证书实现可信https访问。
一、申请阿里云免费SSL证书
1、点击进入阿里云SSL控制台并点击购买按钮,在弹出层中选择“单个域名”、“DV域名级SSL”、选择免费证书,开通证书托管服务选择“否”,否则将收取费用,勾选完毕后点击“立即购买”,提交订单。
2、选择已购买的证书,点击“证书申请”
3、填写要申请SSL证书的域名,如实填写申请人姓名等信息,CSR生成方式选择系统生成即可,因为演示域名由阿里云注册,且在购买SSL证书的账号下,所以可以使用“自动DNS验证”。
4、域名验证成功后点击提交审核,系统将提示“已经成功提交给CA公司,请保持电话畅通,并及时查阅邮箱中来着CA公司的电子邮件”,根据经验来讲,审核过程大约在半个小时左右,CA公司也不会打电话。
5、证书审核通过后在阿里云SSL控制台可发现证书状态已经变更,点击后面的下载按钮,并在弹出层中选择“NGINX”,下载证书,证书下载是zip压缩文件,解压备用。
二、开启EXSI SSH服务
1、登入ESXI后台,点击“操作” -- “服务”-- “启用安全Shell(SSH)”,只有开启SSH后才可以替换证书。
三、配置并替换ESXI SSL证书
1、下载用于远程连接的软件,推荐“FinalShell”,该软件为纯国产精品软件,可远程又可以可视化操作文件。
2、新增SSH连接,填入ESXI的IP,端口默认 22,用户名 root ,密码。
3、连接成功后进入 /etc/vmware/ssl 目录,rui.crt、rui.key,是默认的证书文件。
4、修改文件名称rui.crt修改为rui.crt.bak,rui.key修改为rui.key.bak,备份原始证书。
5、解压下载好的证书,将****.pem修改为rui.crt,****.key修改为rui.key。
6、将修改好的文件覆盖上传至 /etc/vmware/ssl 目录。
7、上传证书后可以不重启ESXI让证书生效,执行下面的命令,重启相关服务。
/etc/init.d/hostd restart #重启hostd服务 /etc/init.d/vpxa restart #重启vpxa服务 /etc/init.d/vpxa start #启动vpxa服务 /etc/init.d/hostd start #启动hostd服务
确保hostd、vpxa服务是running状态后,使用域名访问ESXI即可。
四、关启EXSI SSL
1、为保证ESXI主机的安全性,在SSL配置完成后需要关闭SHELL服务,点击“操作” -- “服务”-- “禁用安全Shell(SSH)”。
至此,ESXI SSL证书配置完成 Enjoy~。
