Рейтинг:0

VMWare ESXi + LetsEncrypt — обновление SSL-сертификата

флаг cn

С VMWare ESXi (Я использую ESXi 6.7), я регулярно сталкиваюсь с проблемой SSL. Chrome и Firefox не поддерживают самозаверяющие сертификаты, предоставляемые внутренней системой VMWare.

В моем случае единственный способ получить доступ к веб-клиенту VMWare Sphere — использовать Safari (в macOS) и вручную разрешить сертификат в качестве доверенного сертификата.

Ошибка SSL в хроме

Дело в том, чтобы объявить подписанный сертификат.
Поскольку VSphere Client предназначен только для использования администратором, я бы предпочел не платить за подписанный третьим лицом сертификат стоимостью ~100 долларов в год.

Еще несколько месяцев назад я использовал ZeroSSL который больше не является полностью бесплатным (заблокирован после 3 продлений). я следил эти инструкции

Есть ли способ использовать Let’sEncrypt процесс, чтобы получить действительный подписанный сертификат и отправить его на мой сервер VMWare?

joeqwerty avatar
флаг cv
Кроме того, вы можете получить годовой коммерческий SSL-сертификат менее чем за 4 доллара США.
флаг cn
Раньше у меня был плохой опыт в этом — некоторые из расследователей SSL-сертификатов имеют «экзотический» корневой ЦС, и мои веб-сайты выходили из строя в хроме, т.е.
флаг cn
У меня около 100 сервисов за шифрованием SSL, 4... много ;-) И letsencrypt можно легко автоматизировать в большинстве случаев (веб-серверы).
Рейтинг:3
флаг cn

3 основных шага для настройки этого.

1. Давайте зашифруем генерацию сертификата с вызовом DNS.

По умолчанию процесс оспаривания с давайте зашифруем это HTTP-01 / высший вызов генерация файлов.
Не удобно использовать ESXi.

я переключаюсь на Вызов DNS-01 который совместимый с моим провайдером DNS.
я использую certbot инструмент.

Вы можете установить его с помощью

apt установить python3-pip
pip установить certbot

я нашел специальное расширение инструмента certbot для Python для автоматизации задач.
Видеть Специальное расширение OVH и полное руководство
Конкретный инструмент pip установить certbot-dns-ovh


Последняя команда certbot сам :

certonly -d mydomain.com

Конкретная версия для OVH certbot certonly -d mydomain.com --dns-ovh --dns-ovh-credentials ~/.ovh-api
Вам нужно будет создать файл .ovh-api с эти инструкции

Благодаря ему я быстро получил список .pem файлы

2. Преобразование формата сертификата

Сертификат генерируется напрямую в формате .pem, поэтому вам не нужно менять формат. Вам просто нужно переименовать файлы

cp fullchain.pem rui.crt
cp privkey.pem rui.key

Будьте осторожны, не используйте cert.pem но полная цепочка.pem.
cert.pem не совместим с ESXi

3. Продлить сертификат на VMWare esxi

  • На хосте ESXi сделайте резервную копию старого сертификата.

    компакт-диск /etc/vmware/ssl/
    mv rui.crt rui.crt.`date +%Y%m%d-%H%M%S`.bak
    mv rui.key rui.key.`date +%Y%m%d-%H%M%S`.bak
    

    На самом деле, вы должны сделать резервную копию этих двух файлов на своей рабочей станции.
    scp myhost:/etc/vmware/ssl/*.bak ./
    Если ssl-сертификаты не соответствуют требованиям хост-клиента vmware, веб-интерфейс не запустится снова... особенно скучно и сложно исправить...
    Если вам нужно откатиться и сбросить ssl, вы можете использовать /sbin/генерировать-сертификаты && перезагрузить команда

  • С вашей рабочей станции:
    Замените свой сертификат
    scp rui.key rui.crt мой хост:/etc/vmware/ssl/

  • На хосте ESXi перезапустите хост перезагрузка

Michael Hampton avatar
флаг cz
Неужели нет менее разрушительного способа начать использовать новые сертификаты, чем перезагрузка хоста?
Michael Hampton avatar
флаг cz
Ага, [здесь](https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-A261E6D8-03E4-48ED-ADB6-473C2DAAB7AD.html) ответ: «В качестве альтернативы вы можете перевести узел в режим обслуживания, установить новый сертификат, использовать пользовательский интерфейс прямой консоли (DCUI) для перезапуска агентов управления и настроить узел для выхода из режима обслуживания». Не так разрушительно, как перезагрузка, но все же настоящая боль.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.