当修改 Web 代理设置时,需要考虑若干加密和用户安全准则。

注:

对主机目录或身份验证机制做出任何更改之后重新启动主机进程。

  • 不要使用密码或密码短语设置证书。ESXi 不支持密码或密码短语(也称为加密密钥)。如果设置密码或密码短语,则 ESXi 进程将无法正常启动。

  • 您可以配置 Web 代理,以便它在非默认位置中搜索证书。对于倾向于将其证书集中在单台计算机上以便使多台主机可使用证书的公司而言,此功能相当有用。

    警告:

    如果证书未存储在主机本地(例如,存储在 NFS 共享上),则在 ESXi 失去网络连接时,该主机将无法访问这些证书。因此,连接到主机的客户端无法成功地参与同主机的安全 SSL 握手。

  • 为了支持对用户名、密码和数据包进行加密,将在默认情况下针对 vSphere Web Services SDK 连接启用 SSL。如果要配置这些连接以使它们不对传输进行加密,请针对 vSphere Web Services SDK 连接禁用 SSL,方法是将连接从 HTTPS 切换至 HTTP。

    仅当为这些客户端创建了完全可信的环境时才可考虑禁用 SSL,在这样的环境中,安装有防火墙,而且与主机之间的传输是完全隔离的。禁用 SSL 可提高性能,因为省却了执行加密所需的开销。

  • 为了防止误用 ESXi 服务,大多数内部 ESXi 服务只能通过端口 443(用于 HTTPS 传输的端口)来访问。端口 443 用作 ESXi 的反向代理。通过 HTTP 欢迎使用页面可看到 ESXi 上的服务列表,但如果未经适当授权,则不能直接访问存储适配器服务。

    可对此配置进行更改,以便可通过 HTTP 连接直接访问各个服务。除非是在完全可信的环境中使用 ESXi,否则不要进行此更改。

  • 在升级 vCenter Server 时,证书保持在原位。