ESXi配置SSL证书

前言

软路由稳定运行一年，SSL证书也到期了，由于去年更换时没有做记录，在这里补充上。本文是对SSL证书进行配置，分为两部分，一是SSL证书的申请，二是ESXi上SSL证书的配置。

配置步骤

SSL证书申请

1. 域名购买。
   可以选择阿里云、腾讯云、百度云进行购买，我购买的是阿里云的域名，但是证书和解析使用的是dnspod，即为腾讯云。

2. 域名解析。
   解析可以使用所购服务商提供的免费解析。我使用的是dnspod，因此就以它做举例。
   使用哪家的解析，首先需要在域名服务商处修改dns为该家的dns。如下图，阿里云dns修改为dnspod的dns。

   
   
   

   阿里云DNS修改

该处修改完成之后，官方说会在0-72小时内同步到其它dns服务商，不过貌似是很快就同步过去了。
在dnspod中添加该域名的解析，便会生成两个@记录。

3. 申请免费SSL证书。
   dnspod的证书申请是在SSL证书页面进行申请，申请免费证书即可。

   
   
   

   申请免费SSL证书
   
   

   其中一步是进行手动解析验证，然后到最后需要添加一条_dnsauth开头的TXT记录在域名解析页面中。添加完成之后回到刚才的页面点击验证即可。
   耐心等待2-3分钟，看到状态为已颁发，便可以下载。

   
   
   

   证书已颁发
   
   dnspod申请速度很快，相比阿里云快多了，有时阿里云要等好久。

4. 下载证书。
   下载下的证书，解压后在apache文件夹中有三个文件。

   
   
   

   SSL证书

只需要使用2和3这两个文件即可。

ESXi配置

1. 上传文件。
   将上一步得到的crt和key文件上传至ESXi中，使用web中的数据存储浏览器即可。

   
   
   

   上载至EXSi

2. 开启SSH。
   开启ESXi的SSH有两种办法，一种是在主机上面连接显示器和键盘进行开启；另一种是直接从web管理页面上开启，如下图。

   
   
   

   开启SSH
   
   

   3.配置SSL。

（1）在内网环境下，SSH登录ESXi；

$ ssh [email protected]

（2）备份、复制证书；

$ cd /vmfs/volumes/datastore1/backup/    # 进入证书所在文件夹
$ tar -czvf cert.tar /etc/vmware/ssl     # 备份现有的ssl证书
$ cp 2_xxxxx.crt /etc/vmware/ssl/rui.crt    # 覆盖crt文件
$ cp 3_xxxxx.key /etc/vmware/ssl/rui.key    # 覆盖key文件

（3）重启服务、重新服务器。

# 下一个命令会在命令行输出重启过程，如果发现有encrypt错误或者web界面登录不进去，
# 则将上述备份文件覆盖回来重启服务。再次检查以上步骤操作有误。
# 如果正常，输出停止后按ctrl+c可回到命令输入
$ services.sh restart & tail -f /var/log/jumpstart-stdout.log
$ reboot    # 重启服务器，最好重启下

使用手机4G或者其它网络以https方式访问该域名，查看是否加锁。

https访问ESXi

结束语

本篇配置中未提及网络配置情况以及ESXi的远程访问，这是因为在软路由篇中已经详尽做了说明，读者可去查看。另外，ESXi的远程访问是在软路由上做了端口映射。
文中需要强调的是，在覆盖完证书文件后，如果发生了encrypt的错误，一定要解压备份文件覆盖回来，再重启服务，然后再重新配置。不要直接重启，这有可能导致网络无法访问，并且web界面无法登录。ESXi的配置还是要谨慎一些的。读者在覆盖过程中如遇到问题，可以评论或私聊。