Как можно заменить стандартный сертификат на ESXi без необходимости перезагрузки системы?

Question

Bella

vmware

Как можно заменить стандартный сертификат на ESXi без необходимости перезагрузки системы?

Согласно <a href="https://docs.vmware.com/en/VMware-vSphere/8.0/vsphere-security/GUID-A261E6D8-03E4-48ED-ADB6-473C2DAAB7AD.html" rel="nofollow">инструкции</a>, процесс замены сертификатов включает следующие шаги: <br/> <br/> 1. Войти в оболочку ESXi, используя DCUI или SSH, с правами администратора. <br/> 2. В каталоге /etc/vmware/ssl произвести переименование существующих сертификатов с помощью следующих команд: <br/> <pre><code>mv rui.crt orig.rui.crt
mv rui.key orig.rui.key</code></pre> <br/> 3. Скопировать новые сертификаты в каталог /etc/vmware/ssl. <br/> 4. Переименовать новые сертификаты и ключи в rui.crt и rui.key. <br/> <br/> На тестовом сервере этот процесс проходит успешно, однако на боевых серверах перезагрузка представляет собой значительную проблему. Существует ли метод замены сертификатов без полной перезагрузки системы? Например, возможно ли перезапускать какие-либо сервисы, чтобы избежать прерывания работы? <br/> <br/> Миграция всех виртуальных машин на другой хост во время обновления сертификата является весьма трудоемкой и долгой задачей.

3 октября 2024 г. 11:44

Ответы на вопрос 2

Похожие вопросы

Answer 1

Замена сертификатов на ESXi без перезагрузки всей системы — это вполне осуществимая задача. После замены сертификатов вам действительно не нужно перезагружать хост, если сделать это правильно. Давайте рассмотрим, как можно минимизировать прерывание работы.

### Шаги по замене сертификатов без перезагрузки ESXi:

1. **Подготовьте новые сертификаты**:
   Перед началом процесса убедитесь, что у вас уже есть правильные новые сертификаты и ключи в формате PEM.

2. **Войдите в ESXi**:
   Используйте DCUI или SSH для входа на ESXi с правами администратора.

3. **Переименуйте текущие сертификаты**:
   Выполните команды, чтобы сохранить текущие сертификаты:
   ```bash
   cd /etc/vmware/ssl
   mv rui.crt orig.rui.crt
   mv rui.key orig.rui.key
   ```

4. **Копируйте новые сертификаты**:
   Скопируйте подготовленные новые сертификаты в этот каталог и переименуйте их:
   ```bash
   cp /path/to/new/rui.crt .
   cp /path/to/new/rui.key .
   mv rui.crt rui.crt
   mv rui.key rui.key
   ```

5. **Перезапустите необходимые службы**:
   После замены сертификатов вам нужно будет перезапустить соответствующий сервис, чтобы изменения вступили в силу. В зависимости от вашей версии ESXi это может быть `hostd` и `vpxa`. Для перезапуска используйте следующие команды:
   ```bash
   /etc/init.d/hostd restart
   /etc/init.d/vpxa restart
   ```

### Примечания:
- **Мониторинг**: После перезапуска сервисов проверьте работоспособность ESXi через vSphere Client или DCUI, чтобы убедиться, что все работает нормально.
- **Backup**: Всегда рекомендуется делать резервные копии важных файлов перед их изменением или удалением.
- **Совместимость сертификатов**: Убедитесь, что новые сертификаты соответствуют требованиями VMware для сертификатов (например, поддерживаемые алгоритмы и длина ключа).
- **Проверка**: После завершения процесса проверьте, что новые сертификаты корректно применены, используя команду:
  ```bash
  openssl x509 -in /etc/vmware/ssl/rui.crt -text -noout
  ```

Соблюдение этих шагов должно помочь вам заменить сертификаты ESXi без необходимости полной перезагрузки системы, что минимизирует влияние на виртуальные машины.

Answer 2

просто позвать команду `services.sh restart`