آموزش نصب Certificat SSL بر روی سرور ESXI

در آخرین نسخه سرور ESXI، رابط کاربری وب فقط برای مدیریت ماشین‌های مجازی موجود (VM) یا ایجاد ماشین‌های مجازی جدید در دسترس است. به طور پیش‌فرض، Certificat SSL که همراه با ESXI ارائه می‌شود، یک گواهی خودامضا یا self-signed است که توسط اکثر مرورگرها پذیرفته نمی‌شود. در این آموزش، ما از ESXI نسخه ۶٫۷، با URL فرضی esxi-srv.example.com و گواهی SSL منقضی شده استفاده می کنیم. بطور کلی ما قصد داریم آن را با یک Certificat SSL جدید جایگزین کنیم.

لاگین به رابط کاربری وب ESXi

برای نصب SSL جدید، باید وارد رابط کاربری وب ESXI شده و دسترسی SSH را فعال کنیم (آموزش فعالسازی SSH). ما می‌توانیم از مرورگر وب موزیلا استفاده کنیم، که به ما کمک می‌کند با پذیرش خطرات مربوط به SSL منقضی شده، به UI وارد شویم.

اگر با چنین نتیجه ای روبرو شدید، روی Advanced کلیک کنید و سپس Accept The Risk and Continue را فعال کنید.

راه اندازی سرویس SSH

برای راه اندازی سرویس SSH، بعنوان یوزر روت وارد سرور ESXI شوید، سپس روی Manage –> Services –> Start TSM-SSH service کلیک کنید.

اتصال به سرور از طریق SSH و جایگزینی گواهی SSL

پس از فعال‌سازی سرویس SSH، حالا می‌تونیم از طریق یک ابزار SSH مثل PuTTY یا ترمینال لینوکس/مک به سرور ESXi متصل بشیم. برای این کار کافیست از دستور زیر استفاده کنیم:

ssh root@esxi-srv.example.com

پس از وارد کردن پسورد یوزر root، وارد محیط خط فرمان سرور ESXi خواهید شد.

موقعیت گواهی‌های SSL در ESXi

گواهی‌های SSL در سرور ESXi معمولاً در مسیر زیر قرار دارند:

/etc/vmware/ssl/

در این مسیر، دو فایل مهم وجود داره:

• rui.crt — فایل گواهی SSL
• rui.key — کلید خصوصی مربوط به گواهی

برای جایگزینی گواهی SSL، ابتدا باید گواهی و کلید جدید رو به این مسیر منتقل کنیم.

آپلود گواهی جدید به ESXi

برای این کار می‌تونیم از ابزار scp (روی لینوکس یا مک) یا نرم‌افزارهایی مثل WinSCP (روی ویندوز) استفاده کنیم. فرض می‌کنیم فایل‌های جدید به نام‌های rui.crt و rui.key در سیستم شما آماده هستند.

در لینوکس یا مک می‌تونید از دستور زیر استفاده کنید:

scp rui.crt rui.key root@esxi-srv.example.com:/etc/vmware/ssl/

در صورتی که با فایل‌های پیش‌فرض جایگزین بشن، سیستم از گواهی جدید برای اتصال استفاده خواهد کرد.

ریستارت کردن سرویس‌های مدیریتی

بعد از جایگزینی گواهی، باید سرویس‌های مدیریتی ESXi رو ریستارت کنیم تا تغییرات اعمال بشن. دستور زیر رو در SSH وارد کنید:

/etc/init.d/hostd restart
/etc/init.d/vpxa restart

همچنین، اگر مایل بودید کل سرویس‌های ESXi رو ریستارت کنید (پیشنهاد نمی‌شه مگر در مواقع خاص):

services.sh restart

تست گواهی جدید

حالا می‌تونید مرورگر خود رو باز کرده و مجدداً به آدرس:

https://esxi-srv.example.com

مراجعه کنید. اگر همه چیز درست انجام شده باشه، هشدار SSL نباید ظاهر بشه و مرورگر گواهی جدید رو معتبر تشخیص می‌ده (در صورتی که گواهی توسط یک مرجع معتبر امضا شده باشه یا CA به صورت دستی به سیستم شما اضافه شده باشه).

نتیجه‌ گیری

در این آموزش یاد گرفتیم که چگونه گواهی پیش‌فرض و خودامضای SSL موجود در سرور ESXi را با یک گواهی معتبر و جدید جایگزین کنیم. این کار نه تنها باعث افزایش امنیت ارتباطات بین مرورگر و سرور می‌شود، بلکه از بروز پیام‌های هشدار امنیتی در مرورگر نیز جلوگیری می‌کند.