Перейти к основному содержанию

Настройка SSL сертификатов CA на хосте ESXi, подключенном к vCenter 6.7

VMware

Привет, сегодня решим проблему с установкой корпоративного SSL сертификата на ESXi host. Проблема в том, что хост управляется через vCenter.

Нашёл интересную статью:
https://kb.vmware.com/s/article/2113926

Мне показалось, что инструкция в данной статье чересчур сложная. Сделаем всё сами, быстрее, проще и без простоя виртуальных машин.

Заходим в UI ESXi хоста:

ssl

Видим, что на хосте установлен самоподписанный сертификат. Логинимся под root.

ssl

Переходим в раздел Manage > Security $ users > Certificates.

ssl

Видим ошибку:

This host's certificates are being managed by vCenter Server, you cannot configure them using the Host Client.

Из-за того, что хост прикреплён к vCenter, нельзя с него управлять сертификатами. Кнопка Import new certificate не активна. Сертификат самоподписанный.

Заходим в vCenter, выбираем хост, на который будем устанавливать сертификат и делаем ему Disconnect. Виртуальные машины продолжают работать.

ssl

Обновляем другую вкладку с UI хоста.

ssl

Ошибка пропала, кнопка Import new certificate активна, нажимаем на неё.

ssl

Открывается окно импорта сертификата. Генерируем CSR, нажимаем Generate FQDN signing request.

ssl

Копируем в буфер сгенерированный код CSR. Close.

Открываем центр сертификации.

ssl

Request a certificate.

ssl

Advanced certificate request.

ssl

В Saved Request вставляем скопированный base64 код. Certificate Template меняем на Web Server.

ssl

Submit.

ssl

Устанавливаем галку Base 64 encoded и скачиваем сертификат Download certificate.

Открываем сертификат блокнотом, копируем содержимое.

Возвращаемся в UI ESXi хоста. 

ssl

Вставляем код сертификата, нажимаем Import.

ssl

Certificate successfully updated, you should refresh your browser

Сертификат установлен. Нам предлагают перезапустить браузер. Перезапускаем браузер и открываем окно UI ESXi хоста.

ssl

Сертификат действительный.

Заходим в vCenter, выбираем ранее отключенный хост, делаем ему Connect.

ssl

Хост снова управляется через vCenter, однако, сертификат уже — корпоративный.

ssl

Заканчиваем балаган

Делаем скриншоты, отправляем аудиторам PCI DSS... Ну не будем же мы говорить им, что vCenter удалит все наши сертификаты с хоста и заменит на свои.

Онлайн-курс по устройству компьютерных сетей

На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Реклама ИП «Скоромнов Дмитрий Анатольевич» ИНН 331403723315