默认情况下,如果 vSphere Authentication Proxy 的访问控制列表中有某个主机的 IP 地址,它就会添加该主机。为了增强安全性,您可以启用客户端身份验证。如果启用了客户端身份验证,vSphere Authentication Proxy 还会检查该主机的证书。

开始之前

  • 请验证 vCenter Server 系统是否信任主机。默认情况下,当您将主机添加到 vCenter Server 时,该主机会分配到一个由 vCenter Server 受信任 root CA 签名的证书。vSphere Authentication Proxy 信任 vCenter Server 受信任 root CA。

  • 如果您计划替换环境中的 ESXi 证书,请先执行替换,然后再启用 vSphere Authentication Proxy。ESXi 主机上的证书必须与该主机注册的证书匹配。

过程

  1. 以具有管理员特权的用户身份登录到 vCenter Server Appliance 或 vCenter Server Windows 计算机。
  2. 运行以下命令以启用对 Bash shell 的访问。
    shell
  3. 转到 camconfig 脚本所在的目录。

    操作系统

    位置

    vCenter Server Appliance

    /usr/lib/vmware-vmcam/bin/

    vCenter Server Windows

    C:\Program Files\VMware\CIS\vmcamd\

  4. 请运行以下命令以启用客户端身份验证。
    camconfig ssl-cliAuth -e

    接下来,vSphere Authentication Proxy 会检查每个已添加主机的证书。

  5. 如果您稍后要再次禁用客户端身份验证,请运行以下命令。
    camconfig ssl-cliAuth -n