Veröffentlicht am von Michael Schroeder

ESXi 5.5 Host Zertifikat aktualisieren

Passende Zertifikate – auch wenn sie nicht vetrauenswürdig signiert sind – sind wichtig für die Kommunikation der Hosts innerhalb des HA-Clusters. Ich schrieb vor einiger Zeit über das Verfahren zur Generierung von selbst signierten Host Zertifikaten bei ESXi. Das Prinzip ist gleich, man muss unter ESXi 5.5 jedoch einen Zusatzschritt einbauen.

Generate-Certificates

  • SSH auf Host aktivieren
  • SSH Client (Putty oder ähnlich) auf Host verbinden
  • Skript ausführen (vgl. unten)

Bei Ausführung des Skriptes erhält man eine Warnung wie unten dargestellt und die Zertifikate werden nicht erneuert. Im beobachteten Fall lautete es weiterhin auf localhost.localdomain.

# /sbin/generate-certificates
WARNING: can't open config file: /etc/pki/tls/openssl.cnf

Sucht man nach dem genannten Verzeichnis, wird schnell klar woher diese Warnung rührt.

# cd /etc/pki
-sh: cd: can't cd to /etc/pki

Das Verzeichnis ist schlicht nicht vorhanden. Hierbei muss es sich noch um ein Bug im Skript handeln, denn dieses Verzeichnis ist bei neuen ESXi Images generell nicht mehr vorhanden.

VMware Support

Ein klarer Fall für den VMware Support. Dieser konnte mir in diesem Fall auch schnell weiter helfen. Der Trick ist, die vorhanden Dateien rui.key und rui.crt im Pfad /etc/vmware/ssl/ zu entfernen. Ich entschied mich für die Umbenennung. 😉

cd /etc/vmware/ssl
# mv rui.key rui.key.old
# mv rui.crt rui.crt.old

Nun wird nochmals das Skript ausgeführt:

# /sbin/generate-certificates
WARNING: can't open config file: /etc/pki/tls/openssl.cnf

Die Warnung kann man ignorieren (das ist eine nützliche Information). Zur Überprüfung der neuen Zertifikatsdateien kann der Zeitstempel geprüft werden.

# ls -la

VMware empfiehlt, das Sticky-Bit neu zu setzen.

# chmod +t rui.crt
# chmod +t rui.key

Nun muss der Host neu gestartet werden, damit das neue Zerifikat aktiv wird. Geöffnete Browser zum Host sollte man schliessen und nach dem Neustart neu verbinden.

Neu verbinden

Im vSphere Client ist der Host nach dem Reboot sehr wahrscheinlich getrennt (grau). Diesen muss man neu verbinden und das neue Zertifikat akzeptieren. Danach lösen sich zumeist auch HA Konfigurationsprobleme.

 Links

  • vmware KB 2076665 – Resolving OpenSSL Heartbleed for ESXi 5.5
  • Wikipedia – Sticky-Bit

3 Antworten auf „ESXi 5.5 Host Zertifikat aktualisieren“

  1. Pingback: ESXi Host Zertifikat aktualisieren

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert