默认情况下,如果 vSphere Authentication Proxy 的访问控制列表中有某个主机的 IP 地址,它就会添加该主机。为了增强安全性,您可以启用客户端身份验证。如果启用了客户端身份验证,vSphere Authentication Proxy 还会检查该主机的证书。

前提条件

  • 请验证vCenter Server系统是否信任主机。默认情况下,当您将主机添加到 vCenter Server时,该主机会分配到一个由vCenter Server 受信任根 CA 签名的证书。vSphere Authentication Proxy 信任 vCenter Server受信任根 CA。
  • 如果您计划替换环境中的ESXi证书,请先执行替换,然后再启用 vSphere Authentication Proxy。ESXi 主机上的证书必须与该主机注册的证书匹配。

过程

  1. 以具有管理员特权的用户身份登录到 vCenter Server 系统。
  2. 运行以下命令以启用对 Bash shell 的访问。
    shell
  3. 转到 camconfig 脚本所在的 /usr/lib/vmware-vmcam/bin/ 目录。
  4. 请运行以下命令以启用客户端身份验证。
    camconfig ssl-cliAuth -e
    接下来,vSphere Authentication Proxy 会检查每个已添加主机的证书。
  5. 如果您稍后要再次禁用客户端身份验证,请运行以下命令。
    camconfig ssl-cliAuth -n