Merhaba, bu yazımda sizlere VMware ESXi Hostlarında ‘Refresh Certificates’ ve ‘Renew Certificates’ Süreci konusundan bahsedeceğim. Kurumsal VMware altyapısında SSL sertifikaları, ESXi hostlar ve vCenter sunucuları arasında güvenli bağlantı sağlar. Bu makalede; sistem yöneticilerinin kolaylıkla uygulayabileceği şekilde “Renew” ve “Refresh Certificates” adımlarını detaylı ve teknik olarak açıklayacağız.
SSL Sertifika Modunun Anlaşılması
VMware altyapısında ESXi hostlar üç sertifika modunda çalışabilmektedir.
- VMCA (Default): VMware Certificate Authority tarafından atanan zamanlanmış self‑signed sertifikalar,
- Custom CA: Kurumsal CA tarafından imzalanmış sertifikalar,
- Thumbprint: Manuel olarak yüklenen tek bir sertifika parmak izi.
Eğer vpxd.certmgmt.mode=vmca olarak ayarlandıysa; refresh ve renew işlemleri vSphere Client üzerinden yapılabilir.
Renew vs. Refresh: Ne Zaman Ne Kullanılır?
| İşlem | Açıklama | Kullanım Durumu | |
| Renew | Host için yeni bir sertifika talep eder (VMCA). | Süre bitiminde veya sertifika yeniden oluşturulmak istendiğinde. | |
| Refresh CA | vCenter’ın VECS trust store’undaki tüm root sertifikaları hostlara push eder. | VMCA revizyonu sonrası trust zinciri güncellenmesi gerektiğinde. | |
Adım Adım Uygulama
Kullanıcı Arayüzü (UI) ile
- vSphere Client’ta ESXi hostu seçin.
- Configure → System → Certificate menüsüne gidin.
- “Renew” ya da “Refresh CA Certificates” butonuna tıklayın.
- Onaylayın — işlem tamamlandığında yeni sertifika hosta uygulanır.
- “Renew” yalnızca sertifikayı yeniler; “Refresh CA”, trust store’u yeniler.
- Host ile vCenter arasında bağlantı geçici kesilebilir (birkaç saniye)
Komut Satırı (İsteğe Bağlı)
- UI yoksa veya otomatikleştirme gerekiyorsa PowerCLI veya ESXi shell kullanılabilir:
- SSH ile hosta bağlanın,
- $ esxcli system certificate regenerate veya PowerCLI’da Renew-VMHostCertificate komutu ile yenileyin.
Otomatik & Toplu Yenileme
Birden fazla host için UI ile tek tek işlem yapmak pratik değildir.
PowerCLI ile script yazarak CertMgrRefreshCertificates_Task çağrısı ile toplu yenileme yapılabilir.
Dikkat Edilmesi Gerekenler
- Downtime riski yoktur, sadece host ve vCenter arasında kısa süreli bağlantı kesintisi olabilir.
- Eğer mod “Custom CA” ise, UI’dan yenileme desteklenmez, manuel sertifika yönetimi gerekir.
- Sertifika süresi, vpxd.certmgmt.certs.daysValid ve *.soft/hardThreshold ayarlarına göre yönetilir.
- Hostların sistem saati doğru olmalı; yanlış zaman, “sertifika geçerli değil” hatalarına yol açabilir.
Öneriler
- Periyodik bakım: Sertifika süresi dolmadan periyodik olarak “Renew” edin.
- Trust güncellemesi: vCenter sertifikası güncellendiyse “Refresh CA Certificates” ile zinciri yenileyin.
- Otomasyon: PowerCLI ile toplu yenileme yaparak yönetimi kolaylaştırın.
- Süre yönetimi: vpxd.certmgmt ayarlarını özelleştirerek alarm ve yenileme zamanlamalarınızı optimize edin.
Bu süreç, VMware altyapınızın güvenlik politikaları gereği SSL bağlantı sürekliliğini sağlar ve sürpriz kesintileri önler. Yöneticiler için kritik olan bu teknik adımlar, doğru uygulandığında altyapınızın stabil ve güvenli çalışmasını garanti eder. Bu yazımda sizlere VMware ESXi Hostlarında ‘Refresh Certificates’ ve ‘Renew Certificates’ Süreci konusundan bahsettim. Faydalı olması dileğiyle.
