ESXi配置SSL证书

前言

软路由稳定运行一年,SSL证书也到期了,由于去年更换时没有做记录,在这里补充上。本文是对SSL证书进行配置,分为两部分,一是SSL证书的申请,二是ESXi上SSL证书的配置。

配置步骤

SSL证书申请

  1. 域名购买。
    可以选择阿里云、腾讯云、百度云进行购买,我购买的是阿里云的域名,但是证书和解析使用的是dnspod,即为腾讯云。
  2. 域名解析。
    解析可以使用所购服务商提供的免费解析。我使用的是dnspod,因此就以它做举例。
    使用哪家的解析,首先需要在域名服务商处修改dns为该家的dns。如下图,阿里云dns修改为dnspod的dns。


    ESXi配置SSL证书_第1张图片
    阿里云DNS修改

该处修改完成之后,官方说会在0-72小时内同步到其它dns服务商,不过貌似是很快就同步过去了。
在dnspod中添加该域名的解析,便会生成两个@记录。

  1. 申请免费SSL证书。
    dnspod的证书申请是在SSL证书页面进行申请,申请免费证书即可。


    ESXi配置SSL证书_第2张图片
    申请免费SSL证书

    其中一步是进行手动解析验证,然后到最后需要添加一条_dnsauth开头的TXT记录在域名解析页面中。添加完成之后回到刚才的页面点击验证即可。
    耐心等待2-3分钟,看到状态为已颁发,便可以下载。


    ESXi配置SSL证书_第3张图片
    证书已颁发

    dnspod申请速度很快,相比阿里云快多了,有时阿里云要等好久。
  2. 下载证书。
    下载下的证书,解压后在apache文件夹中有三个文件。


    ESXi配置SSL证书_第4张图片
    SSL证书

只需要使用2和3这两个文件即可。

ESXi配置

  1. 上传文件。
    将上一步得到的crt和key文件上传至ESXi中,使用web中的数据存储浏览器即可。


    ESXi配置SSL证书_第5张图片
    上载至EXSi
  2. 开启SSH。
    开启ESXi的SSH有两种办法,一种是在主机上面连接显示器和键盘进行开启;另一种是直接从web管理页面上开启,如下图。


    ESXi配置SSL证书_第6张图片
    开启SSH

    3.配置SSL。

(1)在内网环境下,SSH登录ESXi;

$ ssh [email protected]

(2)备份、复制证书;

$ cd /vmfs/volumes/datastore1/backup/    # 进入证书所在文件夹
$ tar -czvf cert.tar /etc/vmware/ssl     # 备份现有的ssl证书
$ cp 2_xxxxx.crt /etc/vmware/ssl/rui.crt    # 覆盖crt文件
$ cp 3_xxxxx.key /etc/vmware/ssl/rui.key    # 覆盖key文件

(3)重启服务、重新服务器。

# 下一个命令会在命令行输出重启过程,如果发现有encrypt错误或者web界面登录不进去,
# 则将上述备份文件覆盖回来重启服务。再次检查以上步骤操作有误。
# 如果正常,输出停止后按ctrl+c可回到命令输入
$ services.sh restart & tail -f /var/log/jumpstart-stdout.log
$ reboot    # 重启服务器,最好重启下

使用手机4G或者其它网络以https方式访问该域名,查看是否加锁。


ESXi配置SSL证书_第7张图片
https访问ESXi

结束语

本篇配置中未提及网络配置情况以及ESXi的远程访问,这是因为在软路由篇中已经详尽做了说明,读者可去查看。另外,ESXi的远程访问是在软路由上做了端口映射。
文中需要强调的是,在覆盖完证书文件后,如果发生了encrypt的错误,一定要解压备份文件覆盖回来,再重启服务,然后再重新配置。不要直接重启,这有可能导致网络无法访问,并且web界面无法登录。ESXi的配置还是要谨慎一些的。读者在覆盖过程中如遇到问题,可以评论或私聊。

你可能感兴趣的:(ESXi配置SSL证书)