TLS-Schlüssel (Transport Layer Security)

Der TLS-Schlüssel (Transport Layer Security) sichert die Kommunikation mit dem Host mithilfe des TLS-Protokolls. Beim ersten Start erzeugt der ESXi-Host den TLS-Schlüssel als 2048-Bit-RSA-Schlüssel. Aktuell wird die automatische Erzeugung von ECDSA-Schlüsseln für TLS von ESXi nicht implementiert. Der private TLS-Schlüssel ist nicht für die Verwendung durch den Administrator vorgesehen.

Der TLS-Schlüssel befindet sich in folgendem nicht dauerhaften Speicherort:

/etc/vmware/ssl/rui.key

Der öffentliche TLS-Schlüssel (einschließlich Zwischenzertifizierungsstellen) befindet sich als X.509 v3-Zertifikat in folgendem nicht dauerhaften Speicherort:

/etc/vmware/ssl/rui.crt

Wenn Sie vCenter Server mit Ihren ESXi-Hosts verwenden, erzeugt vCenter Server automatisch eine CSR, signiert sie mithilfe der VMware Certificate Authority (VMCA) und erstellt das Zertifikat. Wenn Sie einen ESXi-Host zu vCenter Server hinzufügen, installiert vCenter Server das resultierende Zertifikat auf dem ESXi-Host.

Das TLS-Standardzertifikat ist selbstsigniert, wobei ein subjectAltName-Feld mit dem Hostnamen bei der Installation übereinstimmt. Sie können ein anderes Zertifikat installieren, um beispielsweise einen anderen subjectAltName zu verwenden oder um eine bestimmte Zertifizierungsstelle (CA) in die Verifizierungskette aufzunehmen. Weitere Informationen finden Sie unter Ersetzen von ESXi SSL-Zertifikaten und -Schlüsseln.

Sie können auch den VMware Host Client verwenden, um das Zertifikat zu ersetzen. Weitere Informationen finden Sie unter Verwaltung eines einzelnen Hosts von vSphere – VMware Host Client.

SSH-Schlüssel

Der SSH-Schlüssel sichert die Kommunikation mit dem ESXi-Host unter Verwendung des SSH-Protokolls. Beim ersten Start erzeugt das System einen nistp256-ECDSA-Schlüssel und die SSH-Schlüssel als 2048-Bit-RSA-Schlüssel. Der SSH-Server ist standardmäßig deaktiviert. Der SSH-Zugriff ist in erster Linie zur Fehlerbehebung gedacht. Die SSH-Schlüssel sind nicht für die Verwendung durch den Administrator vorgesehen. Für die Anmeldung über SSH sind Administratorrechte erforderlich, die gleichbedeutend mit allen Hostberechtigungen sind. Informationen zum Aktivieren von SSH-Zugriff finden Sie unter Aktivieren des Zugriffs auf die ESXi Shell.

Die öffentlichen SSH-Schlüssel befinden sich in folgendem Speicherort:

/etc/ssh/ssh_host_rsa_key.pub

/etc/ssh/ssh_host_ecdsa_key.pub

Die privaten SSH-Schlüssel befinden sich in folgendem Speicherort:

/etc/ssh/ssh_host_rsa_key

/etc/ssh/ssh_host_ecdsa_key

Erstellung des kryptografischen TLS-Schlüssels

Die Erstellungskonfiguration des kryptografischen TLS-Schlüssels wird durch Auswahl von TLS-Verschlüsselungs-Suites bestimmt, die einen der RSA-basierten Schlüsseltransporte (wie in NIST Special Publication 800-56B angegeben) oder ECC-basierte Schlüsselvereinbarungen mit Ecliptic Curve Diffie-Hellman (ECDH) auswählen (wie in NIST Special Publication 800-56A angegeben).

Erstellung des kryptografischen SSH-Schlüssels

Die Erstellungskonfiguration des kryptografischen SSH-Schlüssels wird über die SSHD-Konfiguration gesteuert. ESXi stellt eine Standardkonfiguration bereit, die RSA-basierten Schlüsseltransport (wie in NIST Special Publication 800-56B angegeben), eine Schlüsselvereinbarung mit Ephemeral Diffie-Hellman (DH) (wie in NIST Special Publication 800-56A angegeben) und Ecliptic Curve Diffie-Hellman (ECHD) (wie in NIST Special Publication 800-56A angegeben) zulässt. Die SSHD-Konfiguration ist nicht für die Verwendung durch den Administrator vorgesehen.