証明書を置き換える2023/12/26

ESXi インストール時に自動生成された SSL/TLS 証明書を、自身で取得した証明書に置き換えたい場合は、以下のように設定します。

[1]

自身で取得した証明書を ESXi ホストに転送しておきます。
当例では Let's Encrypt で取得した証明書で置き換えます。

Let's Encrypt の証明書を使用する場合、注意が必要です。
Let's Encrypt は現在、デフォルトのキータイプが [ECDSA] となっているが、ESXi では [ECDSA] のサーバー証明書に対応していないため、[certbot] コマンドで証明書を取得する際には、[--key-type rsa] オプションを付加して、キータイプ [RSA] で取得する必要があります。

[2]

証明書を置き換えます。

# 自身で取得した証明書

[root@ctrl:~]

ll /tmp/*.pem

-rw-r--r--    1 root     root          5510 Dec 26 00:59 /tmp/fullchain.pem
-rw-------    1 root     root          1704 Dec 26 00:59 /tmp/privkey.pem

# システムをメンテナンスモードに切り替える

[root@ctrl:~]

esxcli system maintenanceMode set --enable true

[root@ctrl:~]

esxcli system maintenanceMode get

Enabled

# 証明書を置き換える

[root@ctrl:/tmp]

cd /etc/vmware/ssl

[root@ctrl:/etc/vmware/ssl]

cp -p rui.crt rui.crt.orig

[root@ctrl:/etc/vmware/ssl]

cp -p rui.key rui.key.orig

[root@ctrl:/etc/vmware/ssl]

cp /tmp/fullchain.pem ./rui.crt

[root@ctrl:/etc/vmware/ssl]

cp /tmp/privkey.pem ./rui.key

# システム再起動

[root@ctrl:/etc/vmware/ssl]

esxcli system shutdown reboot --reason "Replacing Certificate"

# システム再起動後メンテナンスモード解除

[root@ctrl:~]

esxcli system maintenanceMode set --enable false

[root@ctrl:~]

esxcli system maintenanceMode get

Disabled

# * 自動生成の証明書は以下のようにして再度生成できる

[root@ctrl:~]

/sbin/generate-certificates

[3]	正規の証明書で置き換えた場合、VMware Host Client にアクセスして、証明書の警告が表示されなければ OK です。