因為資安弱掃的關係,vmware esxi主機上的憑證是使用安裝時自我簽署憑證。
這個憑證被列為無法信任 SSL 憑證,歸類為中風險等級弱點。
如果使用單位經費足夠可以安裝公開憑證授權單位的憑證。
因為此台vmware esxi 為stand alone esxi不受vcenter管轄,
因此這次我們就自行renew Certificates更新公發憑證,接下來看看怎樣操作吧!
SSL憑證
首先要取得公發憑證,通常內容包含憑證公鑰 server.crt、憑證私鑰 server.key、中繼憑證 CA-Bundle.crt三種類型的檔案。
Esxi ssh enable
本次範例為esxi 7.X版本,不同版本的操作應該都類似。
Manage >Services >TSM-SSH Enable
搜尋ssh
預設關閉,點選Start啟用
SSH Vmware Esxi
下載putty,ssh到esxi主機
到憑證的目錄下,確認兩個檔案rui.crt、rui.key
cd /etc/vmware/ssl
ls -al
先備份檔案以防萬一
cp rui.crt rui.crt.bak
cp rui.key rui.key.bak變更檔案權限
如果沒調整的話,無法寫入新的憑證內容
chmod 755 rui.crt
chmod 755 rui.key
常用的檔案權限
總共有9個碼,3個為一組,共3組,對此檔案是否有r讀、w寫、x執行
第一組:owner
第二組:group
第三組:other
| 文件權限 | 數字 | 說明 |
|---|---|---|
| r-- r-- r-- | 444 | 4(讀取權限) |
| rw-- -- --- | 600 | 6(4+2 | 讀取+寫入) |
| rw- r-- r-- | 644 | |
| rw- rw- rw- | 666 | |
| rwx --- --- | 700 | 7(4+2+1 | 讀取+寫入+執行) |
| rwx r-- r-- | 744 | |
| rwx r-x r-x | 755 | 5(4+1 | 讀取+執行) |
| rwx rwx rwx | 777 |
renew Certificates
編輯憑證
開啟後將憑證公鑰 server.crt內容複製到rui.crt
vi rui.crt開啟後將憑證私鑰 server.key內容複製到rui.key
vi rui.key將檔案兩個檔案權限調整回來
chmod 644 rui.crt
chmod 600 rui.key重新開機
reboot驗證
透過瀏覽器確認憑證是否已更新
Manage >Security & users >Certificates
延伸閱讀
1,822 Views
