Настройка SSL сертификатов CA на хосте ESXi, подключенном к vCenter 6.7

Привет, сегодня решим проблему с установкой корпоративного SSL сертификата на ESXi host. Проблема в том, что хост управляется через vCenter.

Нашёл интересную статью:
https://kb.vmware.com/s/article/2113926

Мне показалось, что инструкция в данной статье чересчур сложная. Сделаем всё сами, быстрее, проще и без простоя виртуальных машин.

Заходим в UI ESXi хоста:

Видим, что на хосте установлен самоподписанный сертификат. Логинимся под root.

Переходим в раздел Manage > Security $ users > Certificates.

Видим ошибку:

This host's certificates are being managed by vCenter Server, you cannot configure them using the Host Client.

Из-за того, что хост прикреплён к vCenter, нельзя с него управлять сертификатами. Кнопка Import new certificate не активна. Сертификат самоподписанный.

Заходим в vCenter, выбираем хост, на который будем устанавливать сертификат и делаем ему Disconnect. Виртуальные машины продолжают работать.

Обновляем другую вкладку с UI хоста.

Ошибка пропала, кнопка Import new certificate активна, нажимаем на неё.

Открывается окно импорта сертификата. Генерируем CSR, нажимаем Generate FQDN signing request.

Копируем в буфер сгенерированный код CSR. Close.

Открываем центр сертификации.

Request a certificate.

Advanced certificate request.

В Saved Request вставляем скопированный base64 код. Certificate Template меняем на Web Server.

Submit.

Устанавливаем галку Base 64 encoded и скачиваем сертификат Download certificate.

Открываем сертификат блокнотом, копируем содержимое.

Возвращаемся в UI ESXi хоста. 

Вставляем код сертификата, нажимаем Import.

Certificate successfully updated, you should refresh your browser

Сертификат установлен. Нам предлагают перезапустить браузер. Перезапускаем браузер и открываем окно UI ESXi хоста.

Сертификат действительный.

Заходим в vCenter, выбираем ранее отключенный хост, делаем ему Connect.

Хост снова управляется через vCenter, однако, сертификат уже — корпоративный.

Заканчиваем балаган

Делаем скриншоты, отправляем аудиторам PCI DSS... Ну не будем же мы говорить им, что vCenter удалит все наши сертификаты с хоста и заменит на свои.