配置环境
- ESXi 5.0
- Microsoft 证书服务器-CA
- OpenSSL 0.9.8
前提条件
- 备份ESXi系统的默认证书
- 开启ESXi 系统的SSH功能
- 确认ESXi系统的lockdown模式处于关闭状态
- 目标ESXi主机处于维护模式
输出文件
- rui.crt
- rui.key
第二篇《替换ESXi 5.0证书》
1. 选择ESXi主机,右键进入维护模式,如图1.1所示。
图1.1 进入维护模式
2. 登录ESXi主机,启用SSH,如图1.2所示。
图1.2 启用SSH
3. 查看Lockdown Mode模式是否禁用,如图1.3所示。
图1.3 查看Lockdown Mode模式
4. 使用Winscp工具,如图1.3所示。
图1.4 Winscp工具
5. 找到文件路径,可以看到只有两个证书文件,备份ESXi系统的默认证书文件rui.crt和rui.key到本地,如图1.5所示。
图1.5 替换SSL证书文件
6. 使用管理员身份运行命令提示符,进入到OpenSSL\bin目录下,输入openssl genrsa 2048 > rui.key命令,生成rui.key文件,如下图1.6所示。
图1.6 生成rui.key
7. 回到bin的windows目录中,可以看到文件夹中产生了一个rui.key的文件,该文件为密钥文件,如下图1.7所示。
图1.7 查看rui.key
8. 接下来对key文件进行配置,生成请求文件rui.csr输入以下命令,把ESXi的IP地址和主机名同时加入到命令行,详见下图1.8所示
图1.8 生成rui.csr
9. 命令执行完成后,在bin文件夹下可以看到输出的rui.csr文件,该文件用来向CA证书服务器申请证书,见图1.9所示。
图1.9 rui.csr文件
10. 打开CA证书服务器的IE浏览器,输入https://10.1.1.2/certsrv证书服务器申请地址,输入被授权访问的域账户登录,如下图1.10所示。
图1.10 登录CA证书服务器
11. 申请证书,如图1.11所示。
图1.11 申请证书
12. 选择高级证书申请,如图1.12所示。
图1.12 高级证书申请证书
13. 选择使用 base64 编码的 CMC 或 PKCS #10 文件提交 一个证书申请,或使用 base64 编码的 PKCS #7 文件续订证书申请,如图1.13所示。
图1.13 高级证书申请
14. 打开输入字符界面,如图1.14所示。
图1.14 输入请求字符
15. 用写字板打开rui.csr文件,看到一串字符,如下图1.15所示。
图1.15 打开rui.csr
16. 复制所有的文本字符至上图CA证书申请的空白处,并选择证书模板为Web服务器,如图1.16所示
图1.16 参数选择
17. 提交后,允许操作,点击是,如图1.17所示。
图1.17 证书提示
18. 选择Base64编码,如图1.18所示。
图1.18 下载证书
19. 下载证书cernew.cer,复制证书到OpenSSL/bin文件夹下,重命名为rui.crt,这样bin文件夹下就有三个文件,分别是rui.csr、rui.key、rui.crt,ESXi只需要替换rui.key和rui.crt即可,如图1.19所示
图1.19 生成证书
20. 完成后用WinSCP工具替换即可,替换完成后,如已经从CA服务器下载了颁发机构的证书,就不需要再次安装,如没有安装,参照上一篇vCenter替换证书中的CA证书下载及安装方法,接下来用vSphere client连接ESXi主机测试是否提示证书,登录后菜单显示是否正常,恢复ESXi 服务器默认设置,如图1.20所示。
图1.20 替换证书
21. 替换ESXi的证书就完成了,关闭SSH,重新启动ESXi服务器,vSphere直接访问ESXi服务器就不用提示登录警告了。
