Der ESXi Server verwendet von Haus aus selbst signierte (SSL) Zertifikate, welche mir persönlich ein bisschen ein Dorn im Auge sind – vor allem seit ich meine Projekte auf CAcert Zertifikate umgestellt habe. Da es aber leider im vSphere Client keine nette Lösung gibt, habe ich mir einmal angesehen, wo die generierten Zertifikate eigentlich abgelegt werden und mir eine Lösung zusammengebastelt, um die Zertifikate auszutauschen.

Zuerst beginnt man klassisch mit dem Freischalten des SSH Zugriffs auf den ESXi Host, da wir auf der Shell arbeiten müssen. Dies passiert entweder über den Client oder direkt am Server und sollte eigentlich keine große Sache sein. Im Verzeichnis /etc/vmware/ssl finden sich die vom Server verwendeten Zertifikate und Schlüssel, genauer gesagt geht es um die Dateien rui.key und rui.crt

Wir beginnen mit dem CSR, dem Certificate Signing Request, den wir entweder über OpenSSL direkt erstellen können, oder über ein entsprechendes Tool oder Script. Ich persönlich verwende das CSR Script von CAcert. Beim CSR wird der private Schlüssel generiert, welchen wir als rui.key abspeichern. Dann wird der CSR an die CA (Certificate Authority), in meinem Fall eben CAcert weitergegeben, welche daraus ein Zertifikat basteln, welches als rui.crt abgelegt wird.

Da nun Editoren auf dem ESXi Host Luxus sind, schicken wir die beiden Dateien via SCP in das entsprechende Verzeichnis und starten den Server neu, damit diese aktiv werden. Sollte es zu Problemen dabei kommen, hält der Host folgendes Kommando bereit um ein neues, selbst signiertes Zertifikat zu erstellen um zumindest wieder Zugriff auf den Server zu bekommen:

/sbin/create_certificates