chaser21a
Contributor
Contributor

Kein Zugriff auf ESXi Webclient

Hallo Community,

ich habe in meinem homelab einen ESXi 6.7.0.

Seit gestern kann ich per Browser nicht mehr auf den Webclient zugreifen.

Wenn ich über "https://<IP ESXi Host>/ zugreifen möchte erhalte im ich Internet Explorer die Fehlermeldung:

------

Keine sichere Verbindung mit dieser Seite möglich

Dies liegt möglicherweise daran, dass die Website veraltete oder unsichere TLS-Sicherheitseinstellungen verwendet. Wenn das Problem wiederholt auftritt, wenden Sie sich an den Besitzer der Website.

------

Bisher erhielt ich immer nur die Zertifikatswarnung zum bestätigen.

Auch mit Firefox und Chrome ist kein Zugriff möglich.

Der Zugriff per Putty SSH funktioniet ohne Probleme.

Ich habe bereits per SSH das Serverzertifikat von /"ertc/vmware/ssl/rui.crt" im IE und im Firefox importiert allerdings brachte dies kein Erfolg.

Ich wäre dankbar für eure Unterstützung.

0 Kudos
11 Replies
a_p_
Leadership
Leadership

Willkommen im Forum,

im Moment kann ich das nicht nachstellen, nicht mal mit dem ältesten ESXi 6.7 Build das ich habe.

Wie sieht denn das Zeritfikat aus, d.h. auf wen (CN) ist es ausgestellt?

Hast Du schon mal versucht die in Windows, bzw. den Browsern gespeicherten Zertifikate zu löschen?

Wie sieht es aus, wenn der Client über den FQDN (erfordert DNS, oder einen hosts Eintrag) aufgerufen wird?

Wenn sonst nichts hilft, wäre eine Neugenerierung des selbstsignierten Zertifikats ggf. einen Versuch wert (siehe z.B. Generate New Self-Signed Certificates for ESXi).

André

0 Kudos
chaser21a
Contributor
Contributor

Das Zertifikat, welches auf dem ESXi liegt (rui.crt) hat folgende Daten:

Aussteller: vmware Installer

Gültig bis: 5.01.2030

Über den DNS-Name ist der Webclient nicht zu erreichen.

Beim Aufruf erscheint die Meldung " Diese Website ist nicht sicher" Fehlercode: DLG_FLAGS_SEC_CERT_CN_INVALID"

Früher konnte ich diese Meldung über den Link "Website trotzdem laden" überspringen. Dies geht aktuell nicht mehr.

Werde das Zertifikat auf dem ESXi neu erstellen und hoffen das dies hilft.

Leider ist auch mit dem neu erstellten Zertifikat kein Zugriff auf den Webclient möglich.

0 Kudos
a_p_
Leadership
Leadership

Dann nochmals zurück zu meiner Frage:

... d.h. auf wen (CN) ist es ausgestellt?

Da es sih um ein selbssigniertes Zertifikat in einer Lab Umgebung handelt, häng doch bitte das Zertifikat an Diene nächsete Antwort mit an (Der "Attach" Link befindet sich unten rechts im Antwort-Fenster).


André

0 Kudos
chaser21a
Contributor
Contributor

Das Zertifikat ist auf CN = localhost.home ausgestellt.

(Das Zertifikat ist im Anhang)

Habe bereits die Systemzeit / Systemdateum des ESXi Host geprüft. Dort ist alles korrekt.

0 Kudos
a_p_
Leadership
Leadership

  • Funktioniert der Zugriff von einem anderen PC/Notebook/Tablet etc. aus?
  • Heist der ESXi Server tatsächlich "localhost.home", oder läuft er per DHCP und im DNS Server war der Name für die vergebene IP Adresse bereits vorhanden?
  • Falls der ESXi Host per DHCP läuft, dann wäre zu erwägen dies umzustellen, d.h. dem Host einen FQDN-Namen zu geben (z.B. esx1.lab.local), eine feste IP Adresse zuzuweisen und dann das Zertifikat nochmals zu erneuern, damit dieser neue Name dann als CN ausgewiesen wird.

André

0 Kudos
chaser21a
Contributor
Contributor

Habe den Zugriff bereits vom Laptop,  vom PC und vom Android Tablet aus getestet (jeweils mit IE, Firefox und Chrome) ohne Erfolg.

Die IP des ESXi ist fest vergeben.

Ich habe dem ESXi-Host einen eindeutigen FQDN vergeben: " esxi.test.lab ".

Ich habe auch das Zertifikat nochmals neu generiert.

(siehe Anhang)

Trotzdem kein Zugriff auf den Webclient möglich.

0 Kudos
a_p_
Leadership
Leadership

Ich habe im Moment keine Zugriff auf einen ESXi Host, aber schau mal, ob es mit folgender URL funktioniert:

https://<IP-oder-FQDN>/ui/

"ui" anstelle "vsphere"

André

0 Kudos
chaser21a
Contributor
Contributor

Der Zugriff über https://<IP-oder-FQDN>/ui/ funktioniert leider auch nicht.

Selbst über https://<IP-oder-FQDN>/ komme ich nicht auf die Einstiegsseite.

0 Kudos
a_p_
Leadership
Leadership

Schon ein wenig sonderbar.

Den ESXi Host hattest Du schon mal neu gestartet, oder?

Vielleicht steht in den Logdateien etwas Hilfreiches drin!? Bitte aktiviere über die DCUI (Konsole) mal SSH und lade die /var/log/vmkernel.log (z.B. via WinSCP) herunter.


André

0 Kudos
chaser21a
Contributor
Contributor

Ja ich hatte den Host bereits mehrfach neugestartet.

Ich habe gerade testweise in der endpoints.cfg unter "/etc/vmware/rhttpproxy/" in der config.xml für

/                        local            8309                             allow       allow

eingetragen um die Zugriff über http zu testen.

Der Zugriff über "http://<host-ip>/ui/" auf die Anmeldeseite funktioniert. Allerdings werden die Anmeldedaten dann nicht weitergeleitet.

Fehlermeldung: "Verbindung zum Host ist abgelaufen."

Es scheint irgendwie im Proxy im Zusammenhang mit dem Zertifikat zu liegen.

Kann man über die config.xml unter /etc/vmware/rhttpproxy/ SSL komplett deaktivieren?

(Vielen Dank für deine Unterstützung.)

0 Kudos
chaser21a
Contributor
Contributor

vmkernel.log

0 Kudos