开头（痛点引入）

"运维小哥凌晨三点被报警短信炸醒，发现所有虚拟机断联！"——这可能是ESXi主机SSL证书过期的经典惨案。SSL证书就像主机的"身份证"，一旦过期，轻则管理页面打不开，重则业务中断。本文用大白话+实操案例，带你彻底搞懂这个问题。

一、为什么ESXi的SSL证书会过期？（原理篇）

所有SSL证书都有有效期（通常1-2年），ESXi默认使用VMware自签名证书。就像食品保质期一样，到期后浏览器会弹红框警告："此连接不安全"。

真实案例：某企业vCenter突然无法管理ESXi主机，排查2小时才发现是某台ESXI 6.5的证书悄悄过期了。此时通过浏览器访问会看到这样的报错：

```

NET::ERR_CERT_DATE_INVALID

您的连接不是私密连接

二、4步紧急修复指南（实操篇）

? 场景1：还能SSH登录主机时

```bash

步骤1：检查证书剩余天数（示例输出）

openssl x509 -in /etc/vmware/ssl/rui.crt -noout -dates

notAfter=May 30 12:00:00 2025 GMT ← 已过期的显示

步骤2：重置证书（会重启服务）

/sbin/generate-certificates

步骤3：重启管理服务

services.sh restart

? 场景2：完全无法访问时（需物理操作）

1. 在主机控制台按 F2 进入系统配置

2. 选择 Troubleshooting Options > Restart Management Agents

3. 等待5分钟后尝试重新访问

三、根治方案：换成靠谱的CA证书（进阶篇）

自签名证书就像手写身份证，企业环境建议换成受信任的CA机构证书（如DigiCert）。操作流程：

1. 生成CSR请求文件

```bash

openssl req -new -key /etc/vmware/ssl/rui.key -out /tmp/esxi.csr

```

? *填写信息时特别注意：Common Name必须用主机的FQDN（如esxi01.company.com）*

2. 向CA购买证书后替换文件

将获得的`new.crt`和`new.key`上传至：

/etc/vmware/ssl/rui.crt

/etc/vmware/ssl/rui.key

3. 验证效果

访问https://你的ESXI地址，浏览器地址栏应该显示小锁图标?

四、防患于未然的3个技巧（运维经验）

1. 监控预警设置

在Zabbix/Grafana中添加证书到期检测脚本：

echo | openssl s_client -connect esxi_ip:443 2>/dev/null | openssl x509 -noout -dates

2. 自动化续期方案

使用Let's Encrypt免费证书+定时任务（需配合DNS验证）

3. 版本升级时的隐藏坑

ESXI 7.0之后默认证书有效期从2年延长到10年，但升级时旧版证书不会自动更新！

结尾（行动号召）

下次看到"您的连接不是专用连接"别急着叉掉！收藏本文并立即检查你的ESXi证书有效期。评论区留下你遇到的奇葩故障，我来帮你分析解决方案~

*附赠检查工具*：在线SSL检测工具 [https://www.ssllabs.com/ssltest/](https://www.ssllabs.com/ssltest/)

TAG:esxi主机SSL证书过期,esxi证书问题怎么解决,esxi 许可证过期,esxi证书错误,esxi主机证书状态 警示,ssl证书过期怎么解决