Этот способ прекрасно работает с серверами vSphere 4.1 ESXi и сертификатами, полученными от Windows Server 2008 R2 CA. Просто выполните процедуру шаг за шагом и все должно получиться.
Подготовка сертификата
Загрузите исполняемые файлы Windows OpenSSL, 32-bit или 64-bit. Не забудьте установить исполняемые файлы Visual C++ до установки OpenSSL.
Создайте каталог с именем Certificates в c:\OpenSSL-Win64 (просто чтобы держать сертификаты отдельно).
cd c:\OpenSSL-Win64\Certificates
c:\OpenSSL-Win64\openssl genrsa 2048 > rui.key
c:\OpenSSL-Win64\openssl req -new -key rui.key > rui.csr
На данном этапе OpenSSL начнет запрашивать значения различных параметров. Значения по-умолчанию для большинства из них можно указать в файле openssl.cnf, чтобы сэкономить время на вводе одних и тех же значений. Файл с параметрами указывается добавлением “-config openssl.cnf” к параметрам кодантной строки. УБЕДИТЕСЬ, что в COMMON NAME указан FQDN вашего ESX сервера (например: esx-node-1.example.com). Пароль не задавайте.
При помощи любого текстового редактора скопируйте содержимое файла rui.crs в буфер обмена.
Перейдите на встроенный web-интерфейс вашего Microsoft CA. (Обычно это http://my-ca-server.example.com/certsrv), перейдите в раздел “Запрос сертификата”, затем в раздел “расширенный запрос сертификата”
На экране "Сохраненный запрос" вставьте содержимое буфера клавиатуры и измените шаблон сертификата на "Веб-сервер". Отправьте запрос, затем загрузите сертификат в кодировке Base-64 (не цепочку сертификатов). Сохраните файл под именем rui.cer в каталог c:\OpenSSL-Win64\Certificates
c:\OpenSSL-Win64\bin\openssl x509 -in rui.cer -out rui.crt
c:\OpenSSL-Win64\bin\openssl pkcs12 -export -in rui.crt -inkey rui.key -passout pass:testpassword -out rui.pfx
Преобразование созданного MS CER файла в формат x509 - ключевой шаг, делающий возможным работу с сертификатами, выданными MS CA. Этого достаточно, чтобы сертификаты заработали с vSphere.
Установка сертификата на ESXi
Откройте командную строку VMware vSPhere CLI (потребуются vMA или RemoteCLI).
vifs.pl –server ESXhostname –put c:\openssl\certs\rui.key /host/ssl_key
vifs.pl –server ESXhostname –put c:\openssl\certs\rui.crt /host/ssl_cert
Перезагрузите ESXi сервер и подождите пять минут после того, как появится ESXi консоль. Добавьте ESXi сервер в vCenter, процесс больше не должен зависать на 80% и завершаться с ошибкой.
Установка сертификата на vCenter
Сделайте резервную копию имеющихся файлов rui.key, rui.crt, и rui.pfx из папки C:\Documents and Settings\All Users\Application Data\VMware\VMware VirtualCenter\SSL.
Скопируйте ваши файлы rui.key, rui.crt, и rui.pfx в C:\Documents and Settings\All Users\Application Data\VMware\VMware VirtualCenter\SSL.
Замечание: В Windows Server 2008, копируйте файлы в C:\ProgramData\VMware\VMware VirtualCenter\SSL\
Перезапустите службу VirtualCenter Server. Детальную информацию об Остановке, запуске и перезапуске служб vCenter смотрите в (1003895).
Для сброса пароля базы данных, перейдите в папку, где установлен vCenter Server и запустите команду:
vpxd.exe –p
В момент запроса нового пароля введите старый пароль на базу данных, введите его еще раз для подтверждения.
Перезапустите службу VirtualCenter Server. Детальную информацию об Остановке, запуске и перезапуске служб vCenter смотрите в (1003895).
Чтобы установить сертификат в хранилище доверенных сертификатов на vCenter Server: Сделайте двойной щелчок на файле rui.crt, расположенном в C:\Documents and Settings\All Users\Application Data\VMware\VMware VirtualCenter\SSL.
Щелкните "Установить сертификат", "Далее", "Далее".
Выберите "Указать расположение вручную".
Выберите "Доверенные корневые центры идентификации".
Щелкните "ОК", "Далее", "Завершить", "Да".
Подключитесь к vCenter Server, используя новый сертификат. Если узлы ESX находятся в состоянии disconnected, щелкните правой кнопкой на узле, следуйте подсказкам и подключите узел используя учетные данные root.