****

“您的ESXi主机SSL证书无效！”——如果你在登录VMware ESXi时突然看到这个红色警告，别慌！这不是黑客攻击（当然也可能是），更可能是证书过期或配置错误。作为IT管理员，SSL证书就像主机的“身份证”，一旦失效，轻则告警烦人，重则引发安全风险。本文将以“老张修服务器”的故事为例，用大白话带你一步步恢复ESXi SSL证书。

一、为什么ESXi SSL证书会失效？

SSL证书相当于服务器的“数字驾照”，ESXi默认使用自签名证书，常见问题有：

1. 证书过期：默认证书有效期2年，超期就像驾照失效。

*例子*：老张的ESXi用了3年没动过，某天突然无法通过vSphere Client连接，就是因为证书“过期作废”。

2. 主机名/IP变更：如果改了ESXi的IP或域名，原证书会“对不上号”。

*例子*：老张把主机从192.168.1.100迁移到192.168.1.200后，浏览器提示“证书不匹配”。

3. 人为误删：手滑删了`/etc/vmware/ssl`下的文件。

二、恢复前的准备工作

口诀：备份！备份！备份！

1. SSH连接ESXi（需先启用SSH）：

```bash

ssh root@你的ESXi_IP

```

2. 备份原始证书（防手残）：

cp -r /etc/vmware/ssl /tmp/ssl_backup

三、两种恢复方法（附场景案例）

方法1：重置为默认自签名证书（适合急救）

适用场景：证书过期或损坏，且对自签名无特殊要求。

*老张的操作实录*：

```bash

1. 删除旧证书

rm -f /etc/vmware/ssl/r*

2. 重启服务

/etc/init.d/hostd restart

/etc/init.d/vpxa restart

```

效果：系统自动生成新自签名证书，但浏览器仍会告警（因为默认证书记不住）。

方法2：替换为可信CA签发的证书（企业推荐）

适用场景：需要消除浏览器警告或满足合规要求。

*老张的公司用了Let's Encrypt*：

1. 生成CSR请求文件（向CA申请用）：

openssl req -new -nodes -newkey rsa:2048 -keyout /tmp/esxi.key -out /tmp/esxi.csr

2. 将CSR提交给CA机构（如DigiCert、Let's Encrypt），获得`.crt`文件。

3. 上传并替换证书：

cp /tmp/esxi.crt /etc/vmware/ssl/rui.crt

cp /tmp/esxi.key /etc/vmware/ssl/rui.key

4. 重启服务生效。

四、避坑指南——常见翻车现场

- 坑1：“Permission Denied”错误

*原因*：ESXi 7.0+开启了安全启动模式。

*解决*：临时关闭限制：

```bash

chmod +r /etc/vmware/ssl/*

```

- 坑2：vCenter连不上ESXi了？

*原因*：vCenter只认它自己发的证书记录。

*解决*：在vCenter中重新添加主机。

五、终极建议——自动化监控

手动恢复太麻烦？可以：

1. 用脚本定期检查有效期：

openssl x509 -in /etc/vmware/ssl/rui.crt -noout -enddate

2. 配置告警工具（如Zabbix）监控证书到期时间。

*

SSL证书虽小，却是安全的“第一道门”。无论是像老张那样临时救火，还是未雨绸缪部署企业级方案，关键在于理解原理+动手实践。下次再看到红色警告时，你就能淡定地说：“小问题，分分钟搞定！”

SEO优化点提示:

- 含关键词“ESXI恢复SSL证书”+用户痛点词“安全警报”。

- 正文多次自然穿插关键词组合如“ESXi SSL证书记录”“重置自签名证书记录”。

TAG:esxi恢复ssl证书,esxi 恢复,esxi证书到期无法访问,esxi ssl证书