Standardmäßig fügt vSphere Authentication Proxy einen beliebigen Host hinzu, wenn die IP-Adresse dieses Hosts in seiner Zugriffssteuerungsliste vorhanden ist. Um die Sicherheit weiter zu steigern, können Sie Client-Authentifizierung aktivieren. Wenn Client-Authentifizierung aktiviert ist, prüft vSphere Authentication Proxy auch das Zertifikat des Hosts.

Voraussetzungen

  • Stellen Sie sicher, dass das vCenter Server-System dem Host vertraut. Wenn Sie einen Host zu vCenter Server hinzufügen, wird dem Host standardmäßig ein Zertifikat zugewiesen, das von einer vCenter Server vertrauenswürdigen Stammzertifizierungsstelle signiert ist. vSphere Authentication Proxy vertraut vCenter Server vertrauenswürdiger Stammzertifizierungsstelle.

  • Wenn Sie vorhaben, ESXi-Zertifikate in Ihrer Umgebung zu ersetzen, nehmen Sie die Ersetzung vor, bevor Sie den vSphere Authentication Proxy aktivieren. Die Zertifikate auf dem ESXi-Host müssen mit denen der Host-Registrierung übereinstimmen.

Prozedur

  1. Melden Sie sich als Benutzer mit Administratorrechten beim vCenter Server-System an.
  2. Führen Sie den Befehl aus, um den Zugriff auf die Bash-Shell zu aktivieren. 
    shell
  3. Wechseln Sie zum Verzeichnis /usr/lib/vmware-vmcam/bin/, in dem sich das Skript camconfig befindet.
  4. Führen Sie den folgenden Befehl aus, um die Client-Authentifizierung zu aktivieren. 
    camconfig ssl-cliAuth -e
    Ab diesem Zeitpunkt prüft vSphere Authentication Proxy das Zertifikat von jedem Host, der hinzugefügt wird.
  5. Wenn Sie diese Client-Authentifizierung später wieder deaktivieren möchten, führen Sie den folgenden Befehl aus. 
    camconfig ssl-cliAuth -n