我本人并没有强迫症,就算有也不算晚期。对于ESXI默认强制https访问并显示不安全的样子也并不在意。再者,一般也不会有人把ESXI直接挂在公网上吧?考虑到安全因素,都是内部网络管理,显示不安全就显示了,又不影响使用。
所以我就这样纠结着使用了N年,直到我逛github看到了这货:
https://github.com/FiloSottile/mkcert
竟然可以自签ssl,好吧我收回上面说的话,我还是有点强迫症的,在了解到自签这个方法后。现在即然有自签的方法了,当然要试试。
结果当我把自签这个弄好之后,NMD没想到的是,它竟然可以自动填密码了,折腾了我N年的困惑就这样无心插柳,解决了,决了,了…
弄半天ESXI的登陆不能自动填充的原因在这儿,瞬间一头黑线,又心里默默的把ESXI给画了无数个圈圈……
下面我就来说说,如何自签SSL证书解决ESXI登陆页自动填充密码的方法:
到上面发的那个github地址把这个自签程序下载到本机,我的是windows系统,所以我要下载这个:
考虑到国内访问github的速度,我把它打包了,可以直接点击下载:mkcert-v1.4.4-windows-amd64.zip(两年有效期,你也可以下载另外一个,我网上找到的,版本是1.4.3,可以有10年有效期),10年有效期的下载:mkcert_10years.zip
下载并解压之后,你能看到像这样的两个文件:
管理员模式运行CMD(重要!!!一定要管理员模式!!!!)并切换到mkcert的目录:
执行命令“mkcert_10years.exe 192.168.xxx.xxx(你的ESXI服务器的IP地址)”
mkcert 192.168.0.10 192.168.0.11 192.168.0.12 也可以包含多个ip
mkcert_10years.exe *.sss.ink 也可以使用通配符
mkcert_10years.exe *.abc.ink *.abc.net 192.168.0.200 192.168.0.50 192.168.0.1 192.168.0.138 192.168.0.158 192.168.0.128 192.168.0.10 192.168.0.100 192.168.0.110 192.168.0.120 也可以多个通配域名加ip
顺利的话会有如下的界面提示,意思是生成了红框里的这两个证书文件:
再执行命令“mkcert_10years.exe -install”,在当前PC上把这个证书安装。弹出安装界面时选是即可:
然后会提示这个证书已经在当前系统被成功安装了:
将生成的这俩个证书文件多复制一份并重新改个名字:见图,千万不要搞错了
先登陆ESXI,并打开SSH功能。
用Winscp连接到ESXI,并进入/etc/vmware/ssl/目录,定位到这俩个文件:
将这俩个文件重命名:
把刚才改名的俩个自签的文件拖进去:
这样就完成了替换掉ESXI里老旧的SSL证书文件了:
在WINSCP中打开终端:
弹出的界面选择:
然后输入如下两条命令并依次执行(这一步的命令是重新启动ESXI的WEB服务):
/etc/init.d/hostd restart
/etc/init.d/vpxa restart
刷新一下网页,真是神奇,可以自动填充帐户及密码了:也不会有https不安全的提示了
到此,如果你只在这台机器上访问ESXI那么就可以了。假如你还要在其它电脑上也能自动填充密码,那么你只需要也安装一下这个证书即可。我们可以在当前机器把刚才通过mkcert_10years.exe -install这个命令安装的证书导出,到其它计算机中导入即可。
导出证书步骤:
打开控制面板,在右侧的搜索框搜索“证书”,然后打开:
打开证书后,找到这个mkcert自签的证书并打开它:
然后点击详细信息——复制到文件:
按照如下步骤导出成证书文件即可
到其它电脑安装步骤:
