****

作为企业虚拟化平台的核心，VMware ESXi的安全性至关重要。SSL证书是ESXi与客户端（如vSphere Client）加密通信的“身份证”。但证书过期或配置错误时，浏览器会弹出“此连接不安全”的红色警告，甚至阻断管理访问。本文将以“老张运维数据中心”的真实案例切入，用大白话详解ESXi重置SSL证书的完整流程及底层原理。

一、为什么需要重置ESXi SSL证书？

1.1 典型场景举例

- 场景1：证书过期

某天早晨，运维员小李打开vSphere Client时突然看到红色警告：“证书已过期”。原来三年前部署ESXi时生成的默认证书有效期为365天，无人注意到到期提醒。

*?? 本质原因：ESXi默认使用自签名证书，有效期短且未配置自动续期。*

- 场景2：主机名/IP变更

企业将ESXi主机从旧机房迁移至新机房，IP从`192.168.1.100`改为`10.0.0.100`。此时用浏览器访问会报错：“证书中的主机名不匹配”。

*?? 本质原因：证书绑定了旧IP/主机名，与新地址不匹配。*

1.2 SSL证书的作用（通俗版）

想象你要寄一封机密文件给同事：

- 无SSL证书 → 文件用明信片邮寄，谁都能偷看（明文传输）。

- 有SSL证书 → 文件锁进保险箱，只有你和同事有钥匙（加密通信）。

若保险箱钥匙失效（证书错误），双方就无法安全传递数据。

二、重置ESXi SSL证书的4种方法

以下操作均需通过SSH或ESXi本地Shell执行（先启用SSH服务）：

方法1：一键重置默认证书（适合紧急修复）

```bash

删除旧证书并重启服务

/etc/init.d/hostd restart

/etc/init.d/vpxa restart

```

*? 优点：5秒搞定 | ? 缺点：生成的新证书仍为自签名，有效期仅2年*

方法2：自定义生成CA签名证书（企业推荐）

步骤拆解：

1. 准备CA根证书（假设已有企业CA）：

```bash

将CA的.crt和.key上传至ESXi的/tmp目录

```

2. 生成新CSR请求文件：

openssl req -new -nodes -newkey rsa:2048 \

-keyout /tmp/esxi.key -out /tmp/esxi.csr \

-subj "/C=CN/ST=Beijing/L=Chaoyang/O=MyCompany/CN=esxi01.mycompany.com"

*?? 关键点：`CN=`必须匹配ESXi主机名或IP！*

3. 签发并部署新证*书```bash

使用CA签发（假设已在CA服务器完成）

cp /tmp/esxi.crt /etc/vmware/ssl/castore.pem

cp /tmp/esxi.key /etc/vmware/ssl/rui.key

cp /tmp/esxi.crt /etc/vmware/ssl/rui.crt

重启服务生效

services.sh restart

方法3：延长默认证*书有效期```bash

编辑配置文件延长有效期至10年

vim /etc/vmware/ssl/cert.cnf

修改days = 3650后执行：

openssl x509 -req -days 3650 -in /etc/vmware/ssl/rui.csr \

-signkey /etc/vmware/ssl/rui.key -out /etc/vmware/ssl/rui.crt

**方法4：通过PowerCLI自动化（批量处理场景）*```powershell

Connect-VIServer esxi01.mycompany.com

Get-VMHost | Foreach {

Set-VMHost -VMHost $_ -Confirm:$false -Force

}

三、避坑指南——常见报错解决

问题1：“Unable to verify certificate”

- *可能原因*：客户端未导入CA根证*书解决方案：

Windows客户端手动导入CA：

certmgr.msc → “受信任的根证书颁发机构” → 导入CA.crt

问题2：“Hostd service failed to start”**

- *可能原因*：私钥权限错误修复命令：

chmod 600 /etc/vmware/ssl/*.key && chmod644/*.crt

*四、最佳实践建议**

1?? 监控提醒：在Zabbix/Nagios中添加SSL到期检测脚本：

openssl x509 -in/etc/vmware/ssl//rui.crt-noout-enddate | awk-F'=' '{print $2}'

2?? 自动化轮换:

使用Ansible Playbook每6个月自动更新证*书

3?? 禁用TLS1**.0:

加固安全性：

```bashesxcli network ip dns search add --domain=mycompany.comvim-cmd hostsvc/net/info | grep protocol```

通过以上步骤，即使是菜鸟也能搞定ESXi SSL证*书问题。记住——宁可提前三天换证*书**别等宕机再抓狂！

TAG:esxi重置ssl证书,esxi55重置密码,esxi重置网络配置,esxi更换证书,esxi ssl,esxi ssl证书