当修改 Web 代理设置时,需要考虑若干加密和用户安全准则。
注: 对主机目录或身份验证机制做出任何更改之后重新启动主机进程。
- 不要设置使用密码或密码短语的证书。ESXi 不支持使用密码或密码短语(也称为加密密钥)的 Web 代理。如果设置需要密码或密码短语的 Web 代理,则 ESXi 进程将无法正常启动。
-
为了支持对用户名、密码和数据包进行加密,将在默认情况下针对 vSphere Web Services SDK 连接启用 SSL。如果要配置这些连接以使它们不对传输进行加密,请对 vSphere Web Services SDK 连接禁用 SSL,方法是将连接从 HTTPS 切换至 HTTP。
仅当为这些客户端创建了完全可信的环境时才可考虑禁用 SSL,在这样的环境中,安装有防火墙,而且与主机之间的传输是完全隔离的。禁用 SSL 可提高性能,因为省却了执行加密所需的开销。
-
为了防止误用 ESXi 服务,大多数内部 ESXi 服务只能通过端口 443(用于 HTTPS 传输的端口)来访问。端口 443 用作 ESXi 的反向代理。通过 HTTP 欢迎使用页面可看到 ESXi 上的服务列表,但如果未经适当授权,则不能直接访问存储适配器服务。
可对此配置进行更改,以便可通过 HTTP 连接直接访问各个服务。除非是在完全可信的环境中使用 ESXi,否则不要进行此更改。
- 在升级您的环境时,证书会保留在原位。