В этой статье я продемонстрирую процесс штатной процедуры замены SSL сертификата безопасности на гипервизорах ESXi версии 6.х и более. Дефолтный сертификат является самозаверенный сертификатом и не соответствуют нормам безопасности при использовании в SSL-соединениях. В качестве доверенного центра сертификации, будет использоваться корпоративный ЦС Active Directory Certificate Services.
Для успеха операции, необходимо предварительно сконфигурировать hostname и FQDN гипервизора. Без этого шага, в качестве FQDN используется localhost, что не отвечает задачам статьи. Заметка, описывающая необходимые действия, доступна по следующей ссылке.
Формирование CSR-запроса
После базовой конфигурации хоста виртуализации ESXi к нему возможно получить доступ через веб браузер. URL для подключения доступен в консоли гипервизора и выглядит следующим образом:
![URL для подключения к VMware ESXi](https://ait.in.ua/wp-content/uploads/2019/03/ustanovlennyj-VMware-ESXi-605x450.png)
При попытке доступа, браузер выдает ошибку и строка подключения красная:
![Веб-клиент управления ESXi гипервизором](https://ait.in.ua/wp-content/uploads/2019/03/2019-03-30_18-49-35-829x450.png)
Во время получения SSL сертификата произойдет формирование CSR-запроса. Параллельно с этим, на гипервизоре создается приватный ключ, который его не покидает. В CSR запросе содержится нужная информация, в том числе и FQDN. Стоит заметить, что формирование запроса имеет автоматический характер. По этой причине, я вынес настройку FQDN обязательным пунктом.
Для получения CSR-запроса в веб-клиенте необходимо перейти:
Manage –> Security & users –> Certificates –> Import new certificate
![Окно Import new certificate веб-клиента управления ESXi](https://ait.in.ua/wp-content/uploads/2019/03/2019-03-30_19-14-11-829x450.png)
Для генерации сертификата нажимаем на Generate FQDN signing request.
![CSR запрос на получение SSL сертификата в ESXi гипервизоре](https://ait.in.ua/wp-content/uploads/2019/03/2019-03-30_19-23-17-630x450.png)
Копируем CSR-запрос в буфер обмена.
Выпуск SSL сертификата
Для выпуска сертификата безопасности, переходим на URL адресс сервера с установленными CA Web Enrollment
![CA Web Enrollment](https://ait.in.ua/wp-content/uploads/2019/03/2019-03-30_19-43-29-906x450.png)
Далее, переходим по пути:
Request a certificate –> Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file.
![Submit a Certificate Request or Renewal Request](https://ait.in.ua/wp-content/uploads/2019/03/2019-03-30_19-46-18-906x450.png)
В окно запроса вставляем содержимое буфера и подписываем сертификат. Обязательно скачиваем файл сертификата в формате BASE 64.
![Получение SSL сертификата для ESXi гипервизора](https://ait.in.ua/wp-content/uploads/2019/03/2019-03-30_19-51-47-906x450.png)
Завершающим этапом будет открытие файла любым текстовым редактором, например, Notepad++
![Открытие сертификата с помощью Notepad++](https://ait.in.ua/wp-content/uploads/2019/03/2019-03-30_19-57-05-555x450.png)
и копирование его содержимого в буфер.
Возвращаемся обратно в гипервизор. В окне Import new certificate вставляем содержимое буфера
![Завершение процесса выпуска сертификата для ESXi гипервизора](https://ait.in.ua/wp-content/uploads/2019/03/2019-03-30_20-02-16-910x423.png)
и после этого нажимаем Import. Ждем несколько минут пока новая конфигурация вступит в силу.
В данной статье был рассмотрен процесс генерации и замены сертификата безопасности для ESXi гипервизора. Если остались вопросы, просьба писать в комментариях.
Обходились как-то до этого без всяких сертификатов, сейчас приходится бегать по всяким хострадарам с выпученными глазами, разыскивать хостинг с бесплатным ссл.