Menu

8/16/25

Tạo ssl local cho ESXI 8 Host



Để thay thế chứng chỉ SSL mặc định của ESXi bằng một chứng chỉ đáng tin cậy hơn, bạn cần thực hiện các bước sau: 

1. Chuẩn bị

  • Tạo CSR (Certificate Signing Request): CSR là một tệp tin chứa thông tin của máy chủ và khóa công khai (public key). Bạn cần sử dụng một công cụ như OpenSSL để tạo CSR.
  • Có CA (Certificate Authority): Bạn có thể sử dụng một CA nội bộ (internal CA) của công ty hoặc một CA công cộng (public CA) như Let's Encrypt, DigiCert, GlobalSign, v.v. để ký (sign) CSR. >> Mình đã xây dựng CA server trên windows 2019
  • Sử dụng SSH/Shell để tải chứng chỉ và khóa lên ESXi.

2. Các bước thực hiện

  1. Kết nối SSH vào máy chủ ESXi: Bật dịch vụ SSH trên ESXi từ giao diện web hoặc console.
  2. Tạo thư mục làm việc: mkdir /tmp/certs
  3. Tạo CSR và Private Key:

openssl req -new -newkey rsa:2048 -nodes -keyout /tmp/certs/esxi.key -out /tmp/certs/esxi.csr -config san.cnf

Trong đó, nội dung file san.cnf như sau:

[req]

distinguished_name = req_distinguished_name

req_extensions = v3_req

prompt = no


[req_distinguished_name]

C = VN

ST = Binh Duong

L = Ben Cat

O = Homelab

OU = IT

CN = esxi01.homelab.local

 

[v3_req]

keyUsage = nonRepudiation, digitalSignature, keyEncipherment

extendedKeyUsage = serverAuth

subjectAltName = @alt_names

 

[alt_names]

DNS.1 = esxi01.homelab.local

IP.1 = 192.168.1.111

    • Các thông tin cần điền khi tạo CSR

      1. Country Name (2 letter code): Tên quốc gia viết tắt bằng 2 chữ cái.
        • Ví dụ: VN
      2. State or Province Name (full name): Tên tỉnh hoặc thành phố.
        • Ví dụ: Binh Duong
      3. Locality Name (eg, city): Tên địa phương (thành phố).
        • Ví dụ: Ben Cat
      4. Organization Name (eg, company): Tên tổ chức hoặc công ty.
        • Ví dụ: Homelab
      5. Organizational Unit Name (eg, section): Tên bộ phận.
        • Ví dụ: IT
      6. Common Name (CN): Đây là trường quan trọng nhất. Bạn phải nhập tên miền đầy đủ (FQDN) của host ESXi. Nếu bạn truy cập host bằng tên esxi01.homelab.local, thì đây chính là Common Name.
        • Ví dụ: esxi01.homelab.local
      7. Email Address: Địa chỉ email liên hệ.
        • Ví dụ: admin@homelab.local
      8. A challenge password: Mật khẩu tùy chọn để bảo vệ CSR. Bạn có thể để trống.
      9. An optional company name: Tên công ty tùy chọn. Bạn có thể để trống.
  1. Gửi CSR tới CA:
    • Gửi file esxi.csr cho CA nội bộ hoặc công cộng để ký.
    • Sau khi CA ký, bạn sẽ nhận được một file chứng chỉ (thường có định dạng .crt).
  2. Tải chứng chỉ và khóa lên ESXi:
    • Sử dụng SCP hoặc WinSCP/FileZilla để tải file esxi.key (private key) và file chứng chỉ đã được ký (ví dụ: esxi.cer) vào thư mục /tmp/certs trên ESXi.
  3. Thay thế chứng chỉ:
    • Chuyển đến thư mục chứa chứng chỉ: cd /etc/vmware/ssl
    • Sao lưu chứng chỉ cũ: mv rui.crt rui.crt.bak và mv rui.key rui.key.bak
    • Copy chứng chỉ mới:

cp /tmp/certs/esxi.cer rui.crt

cp /tmp/certs/esxi.key rui.key

  1. Đặt lại quyền (Permissions):

chmod 400 rui.key - Đảm bảo khóa riêng được bảo mật tối đa, chỉ có chủ sở hữu mới được đọc.

chmod 644 rui.crt - Cho phép mọi người đọc file chứng chỉ công khai, nhưng chỉ chủ sở hữu mới có quyền thay đổi.

  1. Khởi động lại các dịch vụ:

/etc/init.d/hostd restart

/etc/init.d/vpxa restart

Lệnh này sẽ khởi động lại các dịch vụ quản lý trên ESXi và áp dụng chứng chỉ mới.

    • Tải Chứng chỉ Root CA

      1. Mở trình duyệt web trên máy tính Windows client.

      2. Truy cập vào trang web cấp phát chứng chỉ của CA Server: http://<IP_hoặc_Tên_Máy_Chủ_CA>/certsrv.

      3. Trên trang web, chọn Download a CA certificate, certificate chain, or CRL.

      4. Ở màn hình tiếp theo, chọn Download CA certificate để tải file chứng chỉ gốc (.cer).

      Cài đặt Chứng chỉ Root CA trên máy client

      1. Mở file .cer vừa tải về. Một cửa sổ Certificate sẽ hiện ra.

      2. Nhấn vào nút Install Certificate....

      3. Chọn Local Machine để chứng chỉ được cài đặt cho tất cả người dùng trên máy tính. Nhấn Next.

      4. Ở màn hình Certificate Store, chọn Place all certificates in the following store.

      5. Nhấn Browse..., sau đó chọn Trusted Root Certification Authorities.

      6. Nhấn OK, sau đó Next.

      7. Nhấn Finish để hoàn tất quá trình cài đặt. 

3. Kiểm tra kết quả

  • Truy cập lại giao diện web của ESXi.
  • Trình duyệt sẽ hiển thị biểu tượng khóa an toàn (padlock) và không còn cảnh báo về chứng chỉ không đáng tin cậy nữa.
  • Nhấp vào biểu tượng khóa để xem chi tiết chứng chỉ, bạn sẽ thấy chứng chỉ của bạn đã được CA đáng tin cậy ký.
By vào lúc

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)