和VMWare ESXi(我正在运行 ESXi 6.7),我经常遇到 SSL 问题。Chrome 和 Firefox 不允许内部 VMWare 系统提供的自签名证书。
就我而言,访问 VMWare Sphere Web Client 的唯一方法是使用 Safari(在 macOS 上)并允许手动将证书作为受信任的证书。
重点是声明签名证书。
由于 VSphere Client 仅供管理员使用,我宁愿不支付每年约 100 美元的第三方签名证书费用。
直到几个月前,我才开始使用零SSL它不再完全免费(3 次续订后被阻止)。我当时正在关注这些说明
有没有办法使用Let'sEncrypt获取有效签名证书并将其推送到我的 VMWare 服务器的过程?
答案1
设置此项的 3 个主要步骤。
1. 使用 DNS 质询来加密证书生成。
默认挑战过程使用 let's encrypt 是HTTP-01 / acme-挑战文件生成。ESXi
使用起来不方便。
我切换到DNS-01 挑战即符合我的 DNS 提供商的要求.
我使用certbot工具。
您可以使用以下方式安装
apt install python3-pip
pip install certbot
我发现了一个专用的 Python certbot 工具扩展了解挑战自动化。
请参阅OVH 特定扩展和完整教程
具体工具是pip install certbot-dns-ovh
最后的命令就是certbot它本身:
certbot certonly -d mydomain.com
OVH 的具体版本是
certbot certonly -d mydomain.com --dns-ovh --dns-ovh-credentials ~/.ovh-api
您必须使用以下文件创建 .ovh-api 文件这些说明
感谢他,我很快就得到了一份.pem文件清单
2. 证书格式转换
证书直接以 .pem 格式生成,因此你不需要改变格式. 你只需重命名文件
cp fullchain.pem rui.crt
cp privkey.pem rui.key
请小心,不要使用
cert.pem但是fullchain.pem。
cert.pem与 ESXi 不兼容
3.在 VMWare esxi 上更新证书
在 ESXi 主机上,备份旧证书
cd /etc/vmware/ssl/ mv rui.crt rui.crt.`date +%Y%m%d-%H%M%S`.bak mv rui.key rui.key.`date +%Y%m%d-%H%M%S`.bak实际上,您应该在工作站上备份这两个文件。
scp myhost:/etc/vmware/ssl/*.bak ./
如果 SSL 证书不符合 vmware 主机客户端要求,则 Web UI 将无法重新启动……修复起来特别无聊和紧张……
如果您需要回滚和重置 SSL,您可以使用/sbin/generate-certificates && reboot命令从您的工作站:
替换您的证书
scp rui.key rui.crt myhost:/etc/vmware/ssl/在 ESXi 主机上,重新启动主机
reboot
答案2
重新启动 ESXi 中的管理代理 (1003490)https://kb.vmware.com/s/article/1003490 使用 DCUI 或 SSH shell