Beim Ändern von Web-Proxy-Einstellungen müssen mehrere Richtlinien für Verschlüsselung und Benutzersicherheit berücksichtigt werden.

Anmerkung:

Starten Sie den Hostprozess neu, nachdem Sie Änderungen an den Hostverzeichnissen oder den Authentifizierungsmechanismen vorgenommen haben.

  • Richten Sie Zertifikate nicht unter Verwendung eines Kennworts oder mithilfe von Kennwortsätzen ein. ESXi unterstützt keine Kennwörter oder Kennwortsätze (verschlüsselte Schlüssel). Wenn Sie ein Kennwort oder einen Kennwortsatz einrichten, können ESXi-Prozesse nicht ordnungsgemäß starten.

  • Sie können den Web-Proxy so konfigurieren, dass er an einer anderen Stelle als am Standardspeicherort nach Zertifikaten sucht. Dies ist hilfreich, wenn die Zertifikate zentral auf einem Computer gespeichert werden sollen, damit mehrere Hosts die Zertifikate verwenden können.

    ACHTUNG:

    Wenn Zertifikate nicht lokal auf dem Host gespeichert werden, sondern z. B. auf einer NFS-Freigabe, kann der Host nicht auf dieses Zertifikate zugreifen, wenn ESXi keine Netzwerkkonnektivität hat. Aus diesem Grund ist bei einem Client, der eine Verbindung zum Host herstellt, kein sicherer SSL-Handshake mit dem Host möglich.

  • Zur Unterstützung von Verschlüsselung für Benutzernamen, Kennwörter und Pakete wird SSL standardmäßig für vSphere Web Services SDK-Verbindungen aktiviert. Wenn Sie diese Verbindungen so konfigurieren möchten, dass Übertragungen nicht verschlüsselt werden, deaktivieren Sie SSL für Ihre vSphere Web Services SDK-Verbindung, indem Sie die Verbindung von HTTPS auf HTTP umstellen.

    Deaktivieren Sie SSL nur dann, wenn Sie eine vollständig vertrauenswürdige Umgebung für die Clients geschaffen haben, d. h. Firewalls wurden installiert und die Übertragungen zum und vom Host sind vollständig isoliert. Die Deaktivierung von SSL kann die Leistung verbessern, da der für die Verschlüsselung notwendige Verarbeitungsaufwand nicht anfällt.

  • Um den Missbrauch von ESXi-Diensten zu verhindern, kann auf die meisten internen ESXi-Dienste nur über Port 443, den für HTTPS-Übertragungen verwendeten Port, zugegriffen werden. Port 443 dient als Reverse-Proxy für ESXi. Sie können eine Liste der Dienste auf dem ESXi-Host auf einer HTTP-Begrüßungsseite sehen. Sie können direkt aber nur auf die Speicheradapterdienste zugreifen, wenn Sie über die entsprechenden Berechtigungen verfügen.

    Sie können diese Einstellung ändern, sodass auf bestimmte Dienste direkt über HTTP-Verbindungen zugegriffen werden kann. Nehmen diese Änderung nur vor, wenn Sie ESXi in einer vertrauenswürdigen Umgebung verwenden.

  • Wenn Sie vCenter Server aktualisieren, wird das Zertifikat beibehalten.