در آخرین نسخه سرور ESXI، رابط کاربری وب فقط برای مدیریت ماشینهای مجازی موجود (VM) یا ایجاد ماشینهای مجازی جدید در دسترس است. به طور پیشفرض، Certificat SSL که همراه با ESXI ارائه میشود، یک گواهی خودامضا یا self-signed است که توسط اکثر مرورگرها پذیرفته نمیشود. در این آموزش، ما از ESXI نسخه ۶٫۷، با URL فرضی esxi-srv.example.com و گواهی SSL منقضی شده استفاده می کنیم. بطور کلی ما قصد داریم آن را با یک Certificat SSL جدید جایگزین کنیم.
لاگین به رابط کاربری وب ESXi
برای نصب SSL جدید، باید وارد رابط کاربری وب ESXI شده و دسترسی SSH را فعال کنیم (آموزش فعالسازی SSH). ما میتوانیم از مرورگر وب موزیلا استفاده کنیم، که به ما کمک میکند با پذیرش خطرات مربوط به SSL منقضی شده، به UI وارد شویم.
اگر با چنین نتیجه ای روبرو شدید، روی Advanced کلیک کنید و سپس Accept The Risk and Continue را فعال کنید.
راه اندازی سرویس SSH
برای راه اندازی سرویس SSH، بعنوان یوزر روت وارد سرور ESXI شوید، سپس روی Manage –> Services –> Start TSM-SSH service کلیک کنید.
اتصال به سرور از طریق SSH و جایگزینی گواهی SSL
پس از فعالسازی سرویس SSH، حالا میتونیم از طریق یک ابزار SSH مثل PuTTY یا ترمینال لینوکس/مک به سرور ESXi متصل بشیم. برای این کار کافیست از دستور زیر استفاده کنیم:
ssh root@esxi-srv.example.com
پس از وارد کردن پسورد یوزر root، وارد محیط خط فرمان سرور ESXi خواهید شد.
موقعیت گواهیهای SSL در ESXi
گواهیهای SSL در سرور ESXi معمولاً در مسیر زیر قرار دارند:
/etc/vmware/ssl/
در این مسیر، دو فایل مهم وجود داره:
- rui.crt — فایل گواهی SSL
- rui.key — کلید خصوصی مربوط به گواهی
برای جایگزینی گواهی SSL، ابتدا باید گواهی و کلید جدید رو به این مسیر منتقل کنیم.
آپلود گواهی جدید به ESXi
برای این کار میتونیم از ابزار scp (روی لینوکس یا مک) یا نرمافزارهایی مثل WinSCP (روی ویندوز) استفاده کنیم. فرض میکنیم فایلهای جدید به نامهای rui.crt و rui.key در سیستم شما آماده هستند.
در لینوکس یا مک میتونید از دستور زیر استفاده کنید:
scp rui.crt rui.key root@esxi-srv.example.com:/etc/vmware/ssl/
در صورتی که با فایلهای پیشفرض جایگزین بشن، سیستم از گواهی جدید برای اتصال استفاده خواهد کرد.
ریستارت کردن سرویسهای مدیریتی
بعد از جایگزینی گواهی، باید سرویسهای مدیریتی ESXi رو ریستارت کنیم تا تغییرات اعمال بشن. دستور زیر رو در SSH وارد کنید:
/etc/init.d/hostd restart /etc/init.d/vpxa restart
همچنین، اگر مایل بودید کل سرویسهای ESXi رو ریستارت کنید (پیشنهاد نمیشه مگر در مواقع خاص):
services.sh restart
تست گواهی جدید
حالا میتونید مرورگر خود رو باز کرده و مجدداً به آدرس:
https://esxi-srv.example.com
مراجعه کنید. اگر همه چیز درست انجام شده باشه، هشدار SSL نباید ظاهر بشه و مرورگر گواهی جدید رو معتبر تشخیص میده (در صورتی که گواهی توسط یک مرجع معتبر امضا شده باشه یا CA به صورت دستی به سیستم شما اضافه شده باشه).
نتیجه گیری
در این آموزش یاد گرفتیم که چگونه گواهی پیشفرض و خودامضای SSL موجود در سرور ESXi را با یک گواهی معتبر و جدید جایگزین کنیم. این کار نه تنها باعث افزایش امنیت ارتباطات بین مرورگر و سرور میشود، بلکه از بروز پیامهای هشدار امنیتی در مرورگر نیز جلوگیری میکند.
