Von Haus verwendet WMware ESXi ein selbstsigniertes SSL-Zertifikat. Dies sollte um Man-in-the-middle-Angriffe vorzubeugen, gegen ein „richtiges“ SSL-Zertifikat ausgetauscht werden. Das SSL-Zertifikat (rui.crt) und der dazugehörige Key (rui.key) liegen auf dem ESXi Host im Verzeichnes „/etc/vmware/ssl“.Wenn man sich über SSH mit dem Server verbunden hat,

ssh root@<IP-Adresse-des-ESXi-Host>

wechselt man in dieses Verzeichnis unter erstellt dort den Ordner „backup.

cd /etc/vmware/ssl ; mkdir backup

Nun verschieben wir das alte SSL-Zertifikat samt Key in den neu angelegten Ordner:

mv rui.* backup/

Das neue SSL-Zertifikat, den entsprechenden Private Key und das Zwischenzertifikat (falls vorhanden) werden per SCP zum Server übertragen:

scp rui.crt rui.key cacert.pem root@<IP-Adresse-des-ESXi-Host>:/etc/vmware/ssl

Vermutlich haben die Dateien noch andere Namen und sollten deswegen vorher entsprechend umbenannt werden.Wenn ein Zwischenzertifikat (Intermediate SSL Certificate (CA)) verwendet wird, müssen noch zwei neue Umgebungsvariable gesetzt werden:

ssh root@<IP-Adresse-des-ESXi-Host>
export HTTPS_CA_DIR=/etc/vmware/ssl
export HTTPS_CA_FILE=/etc/vmware/ssl/cacert.pem

Die Umgebungsvariablen müssen in die Datei „/etc/profile.local“ eingetragen werden, damit diese auch bei einem Neustart wieder automatisch gesetzt werden.

Zu guter Letzt muss noch der rhttpproxy Dienst neugestartet werden:

/etc/init.d/rhttpproxy restart

Ein Kommentar

  1. 1

    Wie nebenan bereits bemerkt war es bei mir mit ESXi 5.1 ein Reboot notwendig, da ansonsten die Remote-Konsole einen thumbprint mismatch anzeigt und nicht funktioniert.
    Bei dem Reboot wurde außerdem das Backup des alten Schlüssels und Zertifikats gelöscht, das sollte also besser nicht unterhalb von /etc/vmware/ssl abgelegt werden.

Was denkst du?