رفع پیغام certificate در وب esxi
با سلام دوستان چجوری میتونم بدون هیچ مشکلی و ایرادی روی سرورهای مجازیم در وب esxi این پیغام رفع کنم؟
The certificate assigned to this host has expired. You should install a valid certificate
2 پاسخ
سلام دوست عزیز
پیغامی که دریافت می کنید (The certificate assigned to this host has expired) نشون می ده گواهی SSL پیش فرض روی ESXi شما منقضی شده، و مرورگرها و خود پنل مدیریتی وب ESXi هم دیگه اون رو معتبر نمی دونن. برای رفع کامل این مشکل و جلوگیری از نمایش این پیام، باید گواهی جدید روی سرور نصب کنید. دو راه دارید: استفاده از گواهی خودکار (Self-Signed) جدید یا استفاده از گواهی رسمی (مثلاً از CA داخلی یا Let's Encrypt).
در ادامه راهکار معمول استفاده از گواهی خودامضا (روش سریع و ساده) رو توضیح می دم:
۱. اتصال به ESXi با SSH یا از طریق DCUI (کنسول لوکال)
اگر SSH فعال نیست، از کنسول سرور فعالش کنید:
F2 → Troubleshooting Options → Enable SSH
۲. ورود به مسیر گواهی های SSL
وارد مسیر زیر بشید که گواهی ها اونجاست:
/etc/vmware/ssl/
فایل های موجود:
rui.crt: فایل گواهیrui.key: کلید خصوصی
۳. تهیه نسخه پشتیبان از گواهی قبلی (احتیاطی)
cp rui.crt rui.crt.bak
cp rui.key rui.key.bak
۴. ایجاد گواهی جدید Self-Signed با OpenSSL
openssl req -newkey rsa:2048 -nodes -keyout rui.key -x509 -days 730 -out rui.crt
در حین اجرای دستور، از شما اطلاعاتی مثل کشور، استان، نام سازمان و… خواسته میشه. تو قسمت Common Name حتماً IP یا نام هاست ESXi رو وارد کنید.
۵. ری استارت سرویس مدیریت ESXi برای بارگذاری گواهی جدید
/etc/init.d/hostd restart
/etc/init.d/vpxa restart
یا ساده تر:
services.sh restart
بعد از انجام این مراحل، اگه مرورگر کش قبلی داشته باشه، باز هم اخطار نشون می ده ولی گواهی جدید معتبر و بدون انقضا خواهد بود. می تونید گواهی رو به مرورگر اضافه کنید یا در صورت نیاز، از CA داخلی یا گواهی رسمی هم استفاده کنید.اگر خواستی یه گواهی رسمی برای ESXi نصب کنی (مثلاً از Let's Encrypt یا Active Directory CA داخلی)، روشش یه کم پیچیده تره ولی قابل انجامه، فقط باید فایل PEM یا PFX مناسب تهیه و تبدیل بشه.برای یادگیری کامل این کارها، پیشنهاد می کنم دوره «مدیریت حرفه ای VMware ESXi و امنیت زیرساخت مجازی سازی» توسینسو رو ببینی، چون مفصل این بحث ها رو توش باز کردیم.
۱. بررسی وضعیت گواهی SSL
ابتدا بررسی کنید که گواهی فعلی در مسیر `/etc/vmware/ssl/` قرار دارد:
ls -l /etc/vmware/ssl/
دو فایل مهم در این مسیر وجود دارند:
`rui.crt` (گواهی SSL)
`rui.key` (کلید خصوصی)
۲. تهیه نسخه پشتیبان از گواهی های فعلی
قبل از هر تغییری، از گواهی های موجود نسخه پشتیبان تهیه کنید:
cp /etc/vmware/ssl/rui.crt /etc/vmware/ssl/rui.crt_old
cp /etc/vmware/ssl/rui.key /etc/vmware/ssl/rui.key_old
۳. ایجاد گواهی جدید
اگر قصد دارید یک **گواهی جدید** ایجاد کنید، می توانید از OpenSSL استفاده کنید:
openssl req -new -x509 -days 3650 -key /etc/vmware/ssl/rui.key -out /etc/vmware/ssl/rui.crt
این دستور یک گواهی ۱۰ ساله ایجاد می کند
۴. جایگزینی گواهی جدید
پس از ایجاد گواهی جدید، آن را در مسیر `/etc/vmware/ssl/` جایگزین کنید
۵. راه اندازی مجدد سرویس های ESXi
برای اعمال تغییرات، سرویس های ESXi را ریستارت کنید:
/etc/init.d/hostd restart
/etc/init.d/vpxa restart
```
۶. بررسی گواهی جدید
پس از راه اندازی مجدد، از طریق مرورگر وارد **ESXi Web UI** شوید و بررسی کنید که گواهی جدید اعمال شده است