Chave de segurança da camada de transporte

A chave Transport Layer Security (TLS) protege a comunicação com o host usando o protocolo TLS. Na primeira inicialização, o host ESXi gera a chave TLS como uma chave RSA de 2.048 bits. Atualmente, ESXi não implementa a geração automática de chaves ECDSA para TLS. A chave privada TLS não deve ser atendida pelo administrador.

A chave TLS reside no seguinte local não persistente:

/etc/vmware/ssl/rui.key

A chave pública TLS (incluindo autoridades de certificação intermediárias) reside no seguinte local não persistente como um certificado X.509 v3 :

/etc/vmware/ssl/rui.crt

Quando você usa vCenter Server com seus hosts ESXi, vCenter Server gera uma CSR automaticamente, assina-a usando o VMware Certificate Authority (VMCA) e gera o certificado. Quando você adiciona um host ESXi a vCenter Server, vCenter Server instala esse certificado resultante no host ESXi.

O certificado TLS padrão é autoassinado, com um campo subjectAltName que corresponde ao nome do host na instalação. Você pode instalar um certificado diferente, por exemplo, para usar um subjectAltName diferente ou para incluir uma Autoridade de Certificação (CA) específica na cadeia de verificação. Consulte Substituindo ESXi certificados e chaves SSL.

Você também pode usar o VMware Host Client para substituir o certificado. Consulte vSphere Gerenciamento de host único - VMware Host Client.

Chave SSH

A chave SSH protege a comunicação com o host ESXi usando o protocolo SSH. Na primeira inicialização, o sistema gera uma chave ECDSA nistp256 e as chaves SSH como chaves RSA de 2.048 bits. O servidor SSH é desativado por padrão. O acesso SSH destina-se principalmente à solução de problemas. As chaves SSH não devem ser atendidas pelo administrador. O login por meio do SSH requer privilégios administrativos equivalentes ao controle total do host. Para habilitar o acesso SSH, consulte Ativar o acesso ao ESXi Shell usando o vSphere Client.

As chaves públicas SSH residem no seguinte local:

/etc/ssh/ssh_host_rsa_key.pub

/etc/ssh/ssh_host_ecdsa_key.pub

As chaves privadas SSH residem no seguinte local:

/etc/ssh/ssh_host_rsa_key

/etc/ssh/ssh_host_ecdsa_key

Estabelecimento de chave criptográfica TLS

A configuração do estabelecimento da chave criptográfica TLS é regida pela escolha de conjuntos de codificação TLS, que selecionam um dos transportes de chave baseados em RSA (conforme especificado na Publicação Especial do NIST 800-56B) ou acordos de chave baseados em ECC usando efêmera Curva Eclíptica Diffie Hellman (ECDH ) (conforme especificado na Publicação Especial NIST 800-56A).

Estabelecimento de chave criptográfica SSH

A configuração do estabelecimento da chave criptográfica SSH é regida pela configuração do SSHD. ESXi fornece uma configuração padrão que permite o transporte de chave baseado em RSA (conforme especificado na Publicação Especial do NIST 800-56B), o contrato de chave efêmero Diffie Hellman (DH) (conforme especificado na Publicação Especial do NIST 800-56A) e a Curva Eclíptica efêmera Diffie Hellman (ECHD) (conforme especificado na Publicação Especial NIST 800-56A). A configuração do SSHD não deve ser atendida pelo administrador.