Lorsque vous remplacez un certificat sur un hôte ESXi à l'aide de vSphere Web Services SDK, le certificat et la clé antérieurs sont ajoutés à un fichier .bak. Vous pouvez restaurer les certificats précédents en déplaçant les informations du fichier .bak vers les fichiers de certificat et de clé actuels.

Pourquoi et quand exécuter cette tâche

Le certificat et la clé de l'hôte résident dans /etc/vmware/ssl/rui.crt et /etc/vmware/ssl/rui.key. Lorsque vous remplacez le certificat et la clé d'un hôte à l'aide de l'objet géré vim.CertificateManager de vSphere Web Services SDK, le certificat et la clé antérieurs sont ajoutés au fichier /etc/vmware/ssl/rui.bak.

Remarque :

Si vous remplacez le certificat à l'aide de HTTP PUT, vifs ou à partir d'ESXi Shell, les certificats existants ne sont pas ajoutés au fichier .bak.

Procédure

  1. Sur l'hôte ESXi, accédez au fichier /etc/vmware/ssl/rui.bak.

    Le format du fichier est le suivant :

    #
    # Host private key and certificate backup from 2014-06-20 08:02:49.961
    #
    
    -----BEGIN PRIVATE KEY-----
    previous key
    -----END PRIVATE KEY-----
    
    -----BEGIN CERTIFICATE-----
    previous cert
    -----END CERTIFICATE-----
    
  2. Copiez le texte qui commence par -----BEGIN PRIVATE KEY----- et termine par -----END PRIVATE KEY----- dans le fichier /etc/vmware/ssl/rui.clé.

    Incluez -----BEGIN PRIVATE KEY----- et -----END PRIVATE KEY-----.

  3. Copiez le texte entre -----BEGIN CERTIFICATE----- et -----END CERTIFICATE----- dans le fichier /etc/vmware/ssl/rui.crt.

    Incluez -----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----.

  4. Redémarrez l'hôte ou envoyez des événements ssl_reset à tous les services qui utilisent les clés.

    for s in /etc/init.d/*; do $s | grep ssl_reset > /dev/null; if [ $? == 0 ]; then $s ssl_reset; fi; done