Standardmäßig fügt vSphere Authentication Proxy einen beliebigen Host hinzu, wenn die IP-Adresse dieses Hosts in seiner Zugriffssteuerungsliste vorhanden ist. Um die Sicherheit weiter zu steigern, können Sie Client-Authentifizierung aktivieren. Wenn Client-Authentifizierung aktiviert ist, prüft vSphere Authentication Proxy auch das Zertifikat des Hosts.

Voraussetzungen

  • Stellen Sie sicher, dass das vCenter Server-System dem Host vertraut. Wenn Sie einen Host zu vCenter Server hinzufügen, wird dem Host standardmäßig ein Zertifikat zugewiesen, das von einer vCenter Server vertrauenswürdigen Stammzertifizierungsstelle signiert ist. vSphere Authentication Proxy vertraut vCenter Server vertrauenswürdiger Stammzertifizierungsstelle.

  • Wenn Sie vorhaben, ESXi-Zertifikate in Ihrer Umgebung zu ersetzen, nehmen Sie die Ersetzung vor, bevor Sie den vSphere Authentication Proxy aktivieren. Die Zertifikate auf dem ESXi-Host müssen mit denen der Host-Registrierung übereinstimmen.

Prozedur

  1. Melden Sie sich bei der vCenter Server-Appliance oder der vCenter Server-Windows-Maschine als Benutzer mit Administratorberechtigungen an.
  2. Führen Sie den Befehl aus, um den Zugriff auf die Bash-Shell zu aktivieren.
    shell
  3. Navigieren Sie zu dem Verzeichnis, in dem sich das camconfig-Skript befindet.

    Betriebssystem

    Speicherort

    vCenter Server-Appliance

    /usr/lib/vmware-vmcam/bin/

    vCenter Server Windows

    C:\Programme\VMware\CIS\vmcamd\

  4. Führen Sie den folgenden Befehl aus, um die Client-Authentifizierung zu aktivieren.
    camconfig ssl-cliAuth -e

    Ab diesem Zeitpunkt prüft vSphere Authentication Proxy das Zertifikat von jedem Host, der hinzugefügt wird.

  5. Wenn Sie diese Client-Authentifizierung später wieder deaktivieren möchten, führen Sie den folgenden Befehl aus.
    camconfig ssl-cliAuth -n