ESXi 会生成多个非对称密钥,用于正常操作。传输层安全 (TLS) 密钥使用 TLS 协议保护与 ESXi 主机的通信。SSH 密钥使用 SSH 协议保护与 ESXi 主机的通信。
传输层安全密钥
传输层安全 (TLS) 密钥使用 TLS 协议保护与主机的通信。首次引导时,ESXi 主机会以 2048 位 RSA 密钥的形式生成 TLS 密钥。当前,ESXi 不为 TLS 自动生成 ECDSA 密钥。TLS 私钥不由管理员进行维护。
TLS 密钥位于以下非持久位置:
/etc/vmware/ssl/rui.key
TLS 公钥(包括中间证书颁发机构)作为 X.509 v3 证书位于以下非持久位置:
/etc/vmware/ssl/rui.crt
将 vCenter Server 与 ESXi 主机结合使用时,vCenter Server 会自动生成 CSR,使用 VMware Certificate Authority (VMCA) 对其进行签名,并生成证书。将 ESXi 主机添加到 vCenter Server 时,vCenter Server 会在该 ESXi 主机上安装该生成的证书。
默认 TLS 证书是自签名证书,且 subjectAltName 字段与安装时主机名匹配。可以安装不同的证书,以便使用不同的 subjectAltName 或在验证链中包含特定的证书颁发机构 (CA) 等。请参见替换 ESXi SSL 证书和密钥。
还可以使用 VMware Host Client 替换证书。请参见《vSphere 单台主机管理 - VMware Host Client》。
SSH 密钥
SSH 密钥使用 SSH 协议保护与 ESXi 主机的通信。首次引导时,系统会生成 nistp256 ECDSA 密钥,并将 SSH 密钥作为 2048 位 RSA 密钥。默认情况下,SSH 服务器处于取消激活状态。SSH 访问主要用于故障排除目的。SSH 密钥不由管理员进行维护。通过 SSH 登录需要相当于完全主机控制的管理特权。要启用 SSH 访问,请参见启用对 ESXi Shell 的访问。
SSH 公钥位于以下位置:
/etc/ssh/ssh_host_rsa_key.pub
/etc/ssh/ssh_host_ecdsa_key.pub
SSH 私钥位于以下位置:
/etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_ecdsa_key
TLS 加密密钥建立
TLS 加密密钥建立的配置由选择的 TLS 密码套件进行控制,这些套件选择基于 RSA 的密钥传输(如 NIST 特别出版物 800-56B 中所述)或使用临时 Ecliptic Curve Diffie Hellman (ECDH) 的基于 ECC 的密钥协议(如 NIST 特别出版物 800-56A 中所述)之一。
SSH 加密密钥建立
SSH 加密密钥建立的配置由 SSHD 配置控制。ESXi 提供了一项默认配置,即允许基于 RSA 的密钥传输(如 NIST 特别出版物 800-56B 中所述)、临时 Diffie Hellman (DH)(如 NIST 特别出版物 800-56A 中所述)密钥协议和临时 Ecliptic Curve Diffie Hellman (ECHD)(如 NIST 特别出版物 800-56A 中所述)。SSHD 配置不由管理员进行维护。