作为一名网络安全工程师，我经常遇到企业虚拟化平台ESXi因SSL证书问题亮起“红色警报”——浏览器访问时出现“此连接不安全”的警告，甚至导致自动化运维工具报错。今天我就用最直白的语言+实战案例，带你彻底解决这个问题！

一、为什么ESXi必须导入SSL证书？

想象一下这个场景：

小王的公司ESXi主机用的是VMware默认的自签名证书。某天财务部门通过浏览器访问虚拟机时，突然弹出满屏红色警告（如下图），吓得立刻打电话给IT部门：“公司服务器是不是被黑了！？”


（*自签名证书触发的浏览器安全警告示意图*）

根本原因：

- ESXi默认使用`self-signed certificate`（自签名证书），就像你自己手写了一张身份证，银行当然不认

- 正规CA机构颁发的SSL证书相当于“公安局盖章的身份证”，会被所有设备信任

二、准备工作：搞懂三种证书格式

在操作前，先快速认识这些“字母组合”：

| 格式 | 常见后缀 | 作用 | 实际案例 |

|||--||

| PEM | .crt/.pem | 纯文本格式，可直接查看内容 | Apache/Nginx常用 |

| PKCS

12 | .pfx/.p12 | 包含私钥+证书+密码，需保密处理 | Windows IIS服务器常用 |

| DER | .der/.cer | 二进制格式，Java系统偏爱 | Android应用有时需要 |

举个栗子：

如果你从腾讯云申请的证书下载包里有`Nginx`文件夹，里面的`.crt`和`.key`文件就是PEM格式的黄金组合。

三、实战操作：通过Shell导入证书（附避坑指南）

█ 步骤1：上传证书文件到ESXi

```bash

通过WinSCP/SFTP将以下文件传到/tmp/目录：

- your_domain.crt （主证书）

- ca_bundle.crt （中间CA证书）

- private.key （私钥）

```

█ 步骤2：合并证书链（关键！）

按顺序合并主证书和中间证（重要！顺序反了会报错）

cat /tmp/your_domain.crt /tmp/ca_bundle.crt > /tmp/fullchain.pem

█ 步骤3：执行导入命令

一键替换旧证书（系统会自动重启服务）

/etc/vmware/ssl/certmgr.sh --action replace --cert /tmp/fullchain.pem --key /tmp/private.key

??高频踩坑点：

1. 权限问题：确保私钥文件是600权限

```bash

chmod 600 /tmp/private.key

```

2. 时间不同步：如果ESXi主机时间偏差超过5分钟，会触发证书无效错误

检查时间同步状态

cat /etc/ntp.conf

四、验证是否成功的三种方法

1. 浏览器检查

访问`https://你的ESXI-IP/ui`，地址栏应该显示小锁标志（Chrome效果如下图）


2. 命令行检测

openssl s_client -connect localhost:443 -showcerts | grep "Verify"

看到输出"Verify return code:0 (ok)"才算成功！

3. API测试（适合运维工具集成）

```python

import requests

response = requests.get("https://esxi-host/api", verify=True)

verify=True时不再报错说明成功

五、高级技巧：自动化定期更新

SSL证书通常1年过期，推荐用acme.sh实现自动续期：

ESXi不支持原生acme.sh，可通过跳板机这样操作：

acme.sh --install-cert -d esxi.your.com \

--cert-file /tmp/esxi.crt \

--key-file /tmp/esxi.key \

--reloadcmd "scp /tmp/esxi.* root@esxi-host:/tmp/ && ssh root@esxi-host '/etc/vmware/ssl/certmgr.sh --replace...'"

六、遇到问题？看这里！

? 报错"Invalid certificate chain"

→ CA中间证书没正确合并，用`openssl verify -CAfile fullchain.pem your_domain.crt`检查

? vSphere Client无法连接

→ ESXi6.7以下版本需要额外操作：

vim-cmd hostsvc/eaa_cert_manager_update_certificate /tmp/fullchain.pem /tmp/private.key

? 硬件厂商定制版ESXi的特殊情况

比如Dell OEM版本可能需通过iDRAC界面更新——这时建议直接联系厂商获取文档。

现在你的ESXi再也不会吓到同事了！如果觉得有用欢迎分享给运维小伙伴。下期我会揭秘《如何用免费Let's Encrypt实现ESXi自动续期》，关注我不错过干货更新！

TAG:esxi导入ssl证书,esxi如何开启ssh,esxi ssl证书,esxi主机证书,连接esxi