ESXi 会生成多个非对称密钥,用于正常操作。传输层安全 (TLS) 密钥使用 TLS 协议保护与 ESXi 主机的通信。SSH 密钥使用 SSH 协议保护与 ESXi 主机的通信。
传输层安全密钥
传输层安全 (TLS) 密钥使用 TLS 协议保护与主机的通信。首次引导时,ESXi 主机会以 2048 位 RSA 密钥的形式生成 TLS 密钥。当前,ESXi 不为 TLS 自动生成 ECDSA 密钥。TLS 私钥不由管理员进行维护。
TLS 密钥位于以下非持久位置:
/etc/vmware/ssl/rui.key
TLS 公钥(包括中间证书颁发机构)作为 X.509 v3 证书位于以下非持久位置:
/etc/vmware/ssl/rui.crt
将 vCenter Server 与 ESXi 主机结合使用时,vCenter Server 会自动生成 CSR,使用 VMware Certificate Authority (VMCA) 对其进行签名,并生成证书。将 ESXi 主机添加到 vCenter Server 时,vCenter Server 会在该 ESXi 主机上安装该生成的证书。
默认 TLS 证书是自签名证书,且 subjectAltName 字段与安装时主机名匹配。可以安装不同的证书,以便使用不同的 subjectAltName 或在验证链中包含特定的证书颁发机构 (CA) 等。请参见将默认 ESXi 证书替换为自定义证书。
SSH 密钥
SSH 密钥使用 SSH 协议保护与 ESXi 主机的通信。首次引导时,系统会生成 nistp256 ECDSA 密钥,并将 SSH 密钥作为 2048 位 RSA 密钥。默认情况下,SSH 服务器处于取消激活状态。SSH 访问主要用于故障排除目的。SSH 密钥不由管理员进行维护。通过 SSH 登录需要相当于完全主机控制的管理特权。要启用 SSH 访问,请参见使用 vSphere Client 激活对 ESXi Shell 的访问。
SSH 公钥位于以下位置:
/etc/ssh/ssh_host_rsa_key.pub
/etc/ssh/ssh_host_ecdsa_key.pub
SSH 私钥位于以下位置:
/etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_ecdsa_key
TLS 加密密钥建立
TLS 加密密钥建立的配置由选择的 TLS 密码套件控制,该套件使用临时 Ecliptic Curve Diffie Hellman (ECDH)(如 NIST 特别出版物 800-56A 中所述)选择基于 ECC 的密钥协议。
SSH 加密密钥建立
SSH 加密密钥建立的配置由 SSHD 配置控制。ESXi 提供了一项默认配置,即允许临时 Diffie Hellman (DH)(如 NIST 特别出版物 800-56A 中所述)密钥协议和临时 Ecliptic Curve Diffie Hellman (ECHD)(如 NIST 特别出版物 800-56A 中所述)。SSHD 配置不由管理员进行维护。