默认情况下,如果 vSphere Authentication Proxy 的访问控制列表中有某个主机的 IP 地址,它就会添加该主机。为了增强安全性,您可以启用客户端身份验证。如果启用了客户端身份验证,vSphere Authentication Proxy 还会检查该主机的证书。

前提条件

  • 请验证 vCenter Server 系统是否信任主机。默认情况下,当您将主机添加到 vCenter Server 时,该主机会分配到一个由 vCenter Server 受信任根 CA 签名的证书。vSphere Authentication Proxy 信任 vCenter Server 受信任根 CA。

  • 如果您计划替换环境中的 ESXi 证书,请先执行替换,然后再启用 vSphere Authentication Proxy。ESXi 主机上的证书必须与该主机注册的证书匹配。

过程

  1. 以具有管理员特权的用户身份登录到 vCenter Server Appliance 或 vCenter Server Windows 计算机。
  2. 运行以下命令以启用对 Bash shell 的访问。 
    shell
  3. 转到 camconfig 脚本所在的目录。
    操作系统 位置
    vCenter Server Appliance /usr/lib/vmware-vmcam/bin/
    vCenter Server Windows C:\Program Files\VMware\vCenter Server\vmcamd\
  4. 请运行以下命令以启用客户端身份验证。 
    camconfig ssl-cliAuth -e
    接下来,vSphere Authentication Proxy 会检查每个已添加主机的证书。
  5. 如果您稍后要再次禁用客户端身份验证,请运行以下命令。 
    camconfig ssl-cliAuth -n