前言
软路由稳定运行一年,SSL证书也到期了,由于去年更换时没有做记录,在这里补充上。本文是对SSL证书进行配置,分为两部分,一是SSL证书的申请,二是ESXi上SSL证书的配置。
配置步骤
SSL证书申请
- 域名购买。
可以选择阿里云、腾讯云、百度云进行购买,我购买的是阿里云的域名,但是证书和解析使用的是dnspod,即为腾讯云。 -
域名解析。
解析可以使用所购服务商提供的免费解析。我使用的是dnspod,因此就以它做举例。
使用哪家的解析,首先需要在域名服务商处修改dns为该家的dns。如下图,阿里云dns修改为dnspod的dns。
阿里云DNS修改
该处修改完成之后,官方说会在0-72小时内同步到其它dns服务商,不过貌似是很快就同步过去了。
在dnspod中添加该域名的解析,便会生成两个@记录。
-
申请免费SSL证书。
dnspod的证书申请是在SSL证书页面进行申请,申请免费证书即可。
申请免费SSL证书
其中一步是进行手动解析验证,然后到最后需要添加一条_dnsauth开头的TXT记录在域名解析页面中。添加完成之后回到刚才的页面点击验证即可。
耐心等待2-3分钟,看到状态为已颁发,便可以下载。
证书已颁发
dnspod申请速度很快,相比阿里云快多了,有时阿里云要等好久。 -
下载证书。
下载下的证书,解压后在apache文件夹中有三个文件。
SSL证书
只需要使用2和3这两个文件即可。
ESXi配置
-
上传文件。
将上一步得到的crt和key文件上传至ESXi中,使用web中的数据存储浏览器即可。
上载至EXSi
-
开启SSH。
开启ESXi的SSH有两种办法,一种是在主机上面连接显示器和键盘进行开启;另一种是直接从web管理页面上开启,如下图。
开启SSH
3.配置SSL。
(1)在内网环境下,SSH登录ESXi;
$ ssh root@xx.xx.xx.xx
(2)备份、复制证书;
$ cd /vmfs/volumes/datastore1/backup/ # 进入证书所在文件夹
$ tar -czvf cert.tar /etc/vmware/ssl # 备份现有的ssl证书
$ cp 2_xxxxx.crt /etc/vmware/ssl/rui.crt # 覆盖crt文件
$ cp 3_xxxxx.key /etc/vmware/ssl/rui.key # 覆盖key文件
(3)重启服务、重新服务器。
# 下一个命令会在命令行输出重启过程,如果发现有encrypt错误或者web界面登录不进去,
# 则将上述备份文件覆盖回来重启服务。再次检查以上步骤操作有误。
# 如果正常,输出停止后按ctrl+c可回到命令输入
$ services.sh restart & tail -f /var/log/jumpstart-stdout.log
$ reboot # 重启服务器,最好重启下
使用手机4G或者其它网络以https方式访问该域名,查看是否加锁。
https访问ESXi
结束语
本篇配置中未提及网络配置情况以及ESXi的远程访问,这是因为在软路由篇中已经详尽做了说明,读者可去查看。另外,ESXi的远程访问是在软路由上做了端口映射。
文中需要强调的是,在覆盖完证书文件后,如果发生了encrypt的错误,一定要解压备份文件覆盖回来,再重启服务,然后再重新配置。不要直接重启,这有可能导致网络无法访问,并且web界面无法登录。ESXi的配置还是要谨慎一些的。读者在覆盖过程中如遇到问题,可以评论或私聊。
网友评论