Von Haus verwendet WMware ESXi ein selbstsigniertes SSL-Zertifikat. Dies sollte um Man-in-the-middle-Angriffe vorzubeugen, gegen ein „richtiges“ SSL-Zertifikat ausgetauscht werden. Das SSL-Zertifikat (rui.crt) und der dazugehörige Key (rui.key) liegen auf dem ESXi Host im Verzeichnes „/etc/vmware/ssl“.Wenn man sich über SSH mit dem Server verbunden hat,
ssh root@<IP-Adresse-des-ESXi-Host>
wechselt man in dieses Verzeichnis unter erstellt dort den Ordner „backup.
cd /etc/vmware/ssl ; mkdir backup
Nun verschieben wir das alte SSL-Zertifikat samt Key in den neu angelegten Ordner:
mv rui.* backup/
Das neue SSL-Zertifikat, den entsprechenden Private Key und das Zwischenzertifikat (falls vorhanden) werden per SCP zum Server übertragen:
scp rui.crt rui.key cacert.pem root@<IP-Adresse-des-ESXi-Host>:/etc/vmware/ssl
Vermutlich haben die Dateien noch andere Namen und sollten deswegen vorher entsprechend umbenannt werden.Wenn ein Zwischenzertifikat (Intermediate SSL Certificate (CA)) verwendet wird, müssen noch zwei neue Umgebungsvariable gesetzt werden:
ssh root@<IP-Adresse-des-ESXi-Host>
export HTTPS_CA_DIR=/etc/vmware/ssl
export HTTPS_CA_FILE=/etc/vmware/ssl/cacert.pem
Die Umgebungsvariablen müssen in die Datei „/etc/profile.local“ eingetragen werden, damit diese auch bei einem Neustart wieder automatisch gesetzt werden.
Zu guter Letzt muss noch der rhttpproxy Dienst neugestartet werden:
/etc/init.d/rhttpproxy restart
Wie nebenan bereits bemerkt war es bei mir mit ESXi 5.1 ein Reboot notwendig, da ansonsten die Remote-Konsole einen thumbprint mismatch anzeigt und nicht funktioniert.
Bei dem Reboot wurde außerdem das Backup des alten Schlüssels und Zertifikats gelöscht, das sollte also besser nicht unterhalb von /etc/vmware/ssl abgelegt werden.