在虚拟化环境中，VMware ESXi作为核心的服务器虚拟化平台，其安全性至关重要。而SSL证书则是保障ESXi管理接口（如vSphere Client）通信安全的关键组件。默认情况下，ESXi使用自签名证书，但这会引发浏览器警告，且不符合企业级安全规范。本文将用通俗易懂的语言，结合具体场景和操作示例，详解如何为ESXi更换可信的SSL证书。

一、为什么要更换ESXi的SSL证书？

1. 自签名证书的风险

ESXi默认的自签名证书会被浏览器标记为“不安全”，每次登录都会弹出警告（如下图）。更严重的是，攻击者可能利用伪造的自签名证书发起中间人攻击（MITM），窃取管理员凭据。

*示例：某企业运维人员习惯性忽略浏览器警告，导致攻击者伪造ESXi登录页面窃取了vCenter权限。*

2. 合规性要求

金融、医疗等行业通常要求使用受信任的CA（如DigiCert、Let's Encrypt）签发的证书，以满足GDPR、等保2.0等法规。

3. 多节点统一管理

如果使用vCenter管理多个ESXi主机，统一的可信证书能避免频繁的证书信任提示。

二、准备工作：获取新SSL证书

方法1：从商业CA购买

- 步骤：向DigiCert、Sectigo等机构提交CSR（证书签名请求），获取签发的证书文件（通常为`.crt`和`.key`）。

*示例：企业采购DigiCert的通配符证书（`*.yourdomain.com`），可同时覆盖ESXi和vCenter。*

方法2：使用内部CA（适合企业内网）

- 通过Windows Server的AD CS或OpenSSL创建内部CA，签发专属证书。

*示例：用OpenSSL生成CSR：*

```bash

openssl req -newkey rsa:2048 -nodes -keyout esxi.key -out esxi.csr

```

方法3：免费申请Let's Encrypt

- 通过ACME客户端（如Certbot）自动获取90天有效期的免费证书。

*注意：需确保ESXi主机有公网域名并开放80/443端口。*

三、实操步骤：替换ESXi SSL证书

场景假设

假设我们已将新证书文件（`esxi.crt`和`esxi.key`）上传至ESXi主机的`/tmp`目录。

步骤1：备份原证书（重要！）

```bash

cp /etc/vmware/ssl/rui.crt /etc/vmware/ssl/rui.crt.bak

cp /etc/vmware/ssl/rui.key /etc/vmware/ssl/rui.key.bak

```

步骤2：替换为新证书

复制新证书文件到默认位置

mv /tmp/esxi.crt /etc/vmware/ssl/rui.crt

mv /tmp/esxi.key /etc/vmware/ssl/rui.key

设置权限

chmod 600 /etc/vmware/ssl/rui.*

步骤3：重启服务生效

/etc/init.d/hostd restart

/etc/init.d/vpxa restart

验证是否成功

打开浏览器访问ESXi地址：

- ? 成功：不再显示“不安全”警告，点击锁图标可查看新颁发者。

- ? 失败：检查日志 `/var/log/hostd.log`，常见错误包括权限不足或密钥不匹配。

四、高级技巧与避坑指南

1. 解决“Certificate chain incomplete”错误

若CA提供中间证书（如`intermediate.crt`），需合并到`rui.crt`中：

```bash

cat esxi.crt intermediate.crt > /etc/vmware/ssl/rui.crt

```

2. 自动化脚本示例

对于批量部署，可通过PowerCLI脚本一键替换：

```powershell

Connect-VIServer -Server esxi01.yourdomain.com

Set-VMHostCertificate -VMHost esxi01 -Certificate (Get-Content esxi.crt) -PrivateKey (Get-Content esxi.key)

3. 有效期监控

建议用Zabbix或Prometheus监控证书过期时间，避免服务中断。

五、

更换ESXi SSL证书不仅能消除烦人的浏览器警告，更是防御钓鱼攻击的基础措施。无论是商业CA还是内部PKI体系，关键是要确保私钥的安全存储和定期轮换。实际操作中若遇到问题，可参考VMware KB [2112009](https://kb.vmware.com/s/article/2112009)。

> 延伸思考：对于超融合架构（如vSAN），还需同步更新所有节点的证书以保持集群一致性——这正是体系化安全管理的体现！

TAG:esxi更换ssl证书,7证书,esxi修改443,esxi证书问题怎么解决,esxi修改ssh端口