可以配置用于加密与 ESXi 主机通信的安全协议和加密算法。
传输层安全 (TLS) 密钥使用 TLS 协议保护与主机的通信。首次引导时,ESXi 主机会以 2048 位 RSA 密钥的形式生成 TLS 密钥。当前,ESXi 不为 TLS 自动生成 ECDSA 密钥。TLS 私钥不由管理员进行维护。
SSH 密钥使用 SSH 协议保护与 ESXi 主机的通信。首次引导时,系统会以 2048 位 RSA 密钥的形式生成 SSH 密钥。默认情况下,SSH 服务器处于取消激活状态。SSH 访问主要用于故障排除目的。SSH 密钥不由管理员进行维护。通过 SSH 登录需要相当于完全主机控制的管理特权。要启用 SSH 访问,请参见在 VMware Host Client 中启用安全 Shell (SSH)。
可以配置以下
ESXi 主机安全密钥设置。
| 键 | 默认 | 描述 |
|---|---|---|
| UserVars.ESXiVPsAllowedCiphers | !aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES | 默认密码控制字符串。 |
| UserVars.ESXiVPsDisabledProtocols | sslv3,tlsv1,tlsv1.1 | 默认情况下,启用 TLS v1.0、v1.1 和 v1.2 协议。SSL v3.0 处于禁用状态。如果未指定协议,则会启用所有协议。 |
| Config.HostAgent.ssl.keyStore.allowAny | False | 可以将任何证书添加到 ESXi CA 信任库。 |
| Config.HostAgent.ssl.keyStore.allowSelfSigned | False | 可以将非 CA 自签名证书添加到 ESXi CA 信任库,即未设置 CA 位的证书。 |
| Config.HostAgent.ssl.keyStore.discardLeaf | True | 放弃添加到 ESXi CA 信任库的分支证书。 |
要配置 ESXi 安全密钥设置,请执行以下操作:
