在部署 VMware Cloud Foundation(VCF)9.0 时很多人会卡在 “ESXi 主机指纹验证” 这一步 —— 自动部署时 JSON 文件缺了它会失败手动确认又怕输错。其实这就是主机的 “安全身份证”用来验证连接的真实性。本文用通俗的语言解释 SSL 指纹的作用一步步教你用简单命令获取指纹、配置 JSON 文件还分享实验室环境的快捷操作同时补充常见问题排查帮新手和运维人员轻松搞定 VCF 部署中的指纹难题。一、为什么 VCF 部署离不开 SSL 指纹?简单来说SSL 指纹就是 ESXi 主机的 “数字身份证”基于 SHA256 加密算法生成和主机的完整域名(FQDN)绑定。VCF 安装程序在连接 ESXi 主机时会通过这个指纹验证目标主机的真实性避免因网络劫持、主机地址输错等情况连接到不安全的设备从而保障整个云基础架构的部署安全。对于手动部署 VCF安装程序会自动获取指纹并让用户确认;但自动化部署时需要提前在 JSON 部署清单中明确填写指纹信息否则安装程序会因无法验证主机身份而终止流程 —— 这也是很多用户自动化部署失败的常见原因。二、SSL 指纹是什么?不用懂原理也能上手可能有人会觉得 “SHA256 加密”“SSL 证书” 这些词汇太专业但你不用深究技术细节。你只需知道SSL 指纹是一串由字母和数字组成的字符串(比如 “AA:BB:CC:DD…” 格式)是 ESXi 主机 SSL 证书的唯一标识。就像每个人的身份证号独一无二每台 ESXi 主机的 SSL 指纹也不会重复VCF 正是通过这串 “号码” 确认自己连接的是正确的主机。三、3 步获取 ESXi 主机 SSL 指纹小白也能操作获取指纹的核心工具是 OpenSSL(一款免费的加密工具多数操作系统可直接安装)具体步骤如下准备工作确保你的电脑安装了 OpenSSL(Windows 系统可通过官网下载Linux/Mac 系统通常预装;若未安装Linux 用 “yum install openssl”、Mac 用 “brew install openssl” 即可快速安装);同时确认你知道 ESXi 主机的完整域名(FQDN)比如示例中的 “sfo01-m01-r01-esx01.sfo.rainpole.io”以及主机的 443 端口(默认开放无需额外配置)。执行获取命令打开电脑的命令行工具(Windows 用 CMD 或 PowerShellLinux/Mac 用终端)输入以下命令将其中的 “主机完整域名” 替换为你的 ESXi 主机实际地址echo | openssl s_client -connect 你的ESXi主机FQDN:443 2/dev/null | openssl x509 -noout -fingerprint -sha256 | cut -d -f2命令拆解(看不懂也没关系照输就行)“openssl s_client -connect” 是建立与主机的 SSL 连接“2/dev/null” 是屏蔽无关错误信息“openssl x509 -noout -fingerprint -sha256” 是提取 SHA256 格式的指纹“cut -d -f2” 是只保留指纹字符串(去掉前面的 “SHA256 Fingerprint” 前缀)。复制指纹结果命令执行后终端会输出一串无空格的字母数字组合(比如 “E7A3B9C2D8F1A5E3B7C9D0E2F4A6B8C0D1E3F5A7B9C1D3E5F7A9B1C3D5E7F9A”)这就是你需要的 SSL 指纹复制下来备用即可。四、JSON 文件配置把指纹正确填进去获取所有 ESXi 主机的 SSL 指纹后下一步就是将其添加到 VCF 的 JSON 部署清单中。具体操作很简单在 JSON 文件中找到每台 ESXi 主机的配置节点(通常包含 “hostname”“username”“password” 等信息)新增一个 “sslThumbprint” 字段将复制的指纹作为值填入示例如下{ esxiHosts: [ { hostname: sfo01-m01-r01-esx01.sfo.rainpole.io, username: root, password: 你的主机密码, sslThumbprint: E7A3B9C2D8F1A5E3B7C9D0E2F4A6B8C0D1E3F5A7B9C1D3E5F7A9B1C3D5E7F9A } ] }保存 JSON 文件后再提交给 VCF 安装程序(无论是通过 UI 界面上传还是调用 API 部署)指纹验证环节就能顺利通过。五、特殊场景实验室环境可跳过指纹验证如果是搭建实验室、PoC(概念验证)环境不需要严格的安全验证且暂时无法获取 SSL 指纹也可以选择跳过这一步。方法是在 JSON 部署清单的顶层添加 “skipEsxThumbprintValidation” 字段设置为 “true”示例如下{ skipEsxThumbprintValidation: true, esxiHosts: [ // 你的主机配置信息 ] }重要提醒这个方法仅适用于非生产环境!生产环境中跳过指纹验证会带来安全风险可能导致连接到伪造主机造成数据泄露或部署失败务必禁用该配置。六、常见问题排查遇到问题不用慌命令执行失败提示 “openssl: 未找到命令”说明电脑未安装 OpenSSL按前面的步骤安装后再试。输出为空或报错 “connect: Connection refused”检查 ESXi 主机的 FQDN 是否正确、443 端口是否开放以及主机是否处于运行状态。JSON 配置后仍验证失败确认 “sslThumbprint” 字段的指纹没有多余空格、大小写是否正确(指纹大小写不敏感但需与获取结果一致)同时检查主机配置节点是否对应正确。总结VCF 部署中的 ESXi 主机 SSL 指纹验证本质是保障部署安全的关键步骤操作起来并不复杂。只要按照 “安装工具→执行命令→配置 JSON” 的流程操作就能顺利完成。实验室环境可临时跳过验证但生产环境务必严格配置指纹。希望本文的详细指南能帮你避开部署坑让 VCF 自动化部署更顺畅。如果遇到特殊情况可参考 VMware 官方文档或联系技术支持进一步排查。