Chave de segurança da camada de transporte

A chave Transport Layer Security (TLS) protege a comunicação com o host usando o protocolo TLS. Na primeira inicialização, o host ESXi gera a chave TLS como uma chave RSA de 2048 bits. Atualmente, o ESXi não implementa a geração automática de chaves ECDSA para TLS. A chave privada TLS não deve ser mantida pelo administrador.

A chave TLS reside no seguinte local não persistente:

/etc/vmware/ssl/rui.key

A chave pública TLS (incluindo autoridades de certificação intermediárias) reside no seguinte local não persistente como um certificado X.509 v3:

/etc/vmware/ssl/rui.crt

Quando você usa o vCenter Server com seus hosts ESXi, o vCenter Server gera um CSR automaticamente, assina-o usando o VMware Certificate Authority (VMCA) e gera o certificado. Quando você adiciona um host ESXi a vCenter Server, o vCenter Server instala esse certificado resultante no host ESXi.

O certificado TLS padrão é autoassinado, com um campo subjectAltName correspondente ao nome do host na instalação. Você pode instalar um certificado diferente, por exemplo, para fazer uso de um subjectAltName diferente ou para incluir uma Autoridade de Certificação (CA) específica na cadeia de verificação. Consulte o Substituindo ESXi certificados e chaves SSL.

Você também pode usar o VMware Host Client para substituir o certificado. Consulte o vSphere Single Host Management - VMware Host Client .

Chave SSH

A chave SSH protege a comunicação com o host ESXi usando o protocolo SSH. Na primeira inicialização, o sistema gera uma chave nistp256 ECDSA e as chaves SSH como chaves RSA de 2048 bits. O servidor SSH está desativado por padrão. O acesso SSH destina-se principalmente para fins de solução de problemas. As chaves SSH não devem ser atendidas pelo administrador. O login por meio do SSH requer privilégios administrativos equivalentes ao controle total do host. Para habilitar o acesso SSH, consulte Ative o acesso ao ESXi Shell.

As chaves públicas SSH residem no seguinte local:

/etc/ssh/ssh_host_rsa_key.pub

/etc/ssh/ssh_host_ecdsa_key.pub

As chaves privadas SSH residem no seguinte local:

/etc/ssh/ssh_host_rsa_key

/etc/ssh/ssh_host_ecdsa_key

Estabelecimento de chave criptográfica TLS

A configuração do estabelecimento de chave criptográfica TLS é governada pela escolha de pacotes de cifras TLS, que selecionam um dos transportes de chave baseados em RSA (conforme especificado na Publicação Especial NIST 800-56B) ou acordos de chave baseados em ECC usando a Curva Diffie Hellman efêmera (ECDH) ) (conforme especificado na Publicação Especial NIST 800-56A).

Estabelecimento de chave criptográfica SSH

A configuração do estabelecimento da chave criptográfica SSH é governada pela configuração do SSHD. O ESXi fornece uma configuração padrão que permite o transporte de chave baseado em RSA (conforme especificado na Publicação Especial NIST 800-56B), o contrato de chave Diffie Hellman (DH) efêmero (conforme especificado na Publicação Especial NIST 800-56A) e a Curva Eclíptica efêmera Diffie Hellman (ECHD) (conforme especificado na Publicação Especial NIST 800-56A). A configuração do SSHD não deve ser mantida pelo administrador.