TLS-Schlüssel (Transport Layer Security)

Der TLS-Schlüssel (Transport Layer Security) sichert die Kommunikation mit dem Host mithilfe des TLS-Protokolls. Beim ersten Start erzeugt der ESXi-Host den TLS-Schlüssel als 2048-Bit-RSA-Schlüssel. Aktuell wird die automatische Erzeugung von ECDSA-Schlüsseln für TLS von ESXi nicht implementiert. Der private TLS-Schlüssel ist nicht für die Verwendung durch den Administrator vorgesehen.

Der TLS-Schlüssel befindet sich in folgendem nicht dauerhaften Speicherort:

/etc/vmware/ssl/rui.key

Der öffentliche TLS-Schlüssel (einschließlich Zwischenzertifizierungsstellen) befindet sich als X.509 v3-Zertifikat in folgendem nicht dauerhaften Speicherort:

/etc/vmware/ssl/rui.crt

Wenn Sie vCenter Server mit Ihren ESXi-Hosts verwenden, erzeugt vCenter Server automatisch eine CSR, signiert sie mithilfe der VMware Certificate Authority (VMCA) und erstellt das Zertifikat. Wenn Sie einen ESXi-Host zu vCenter Server hinzufügen, installiert vCenter Server das resultierende Zertifikat auf dem ESXi-Host.

Das TLS-Standardzertifikat ist selbstsigniert, wobei ein subjectAltName-Feld mit dem Hostnamen bei der Installation übereinstimmt. Sie können ein anderes Zertifikat installieren, um beispielsweise einen anderen subjectAltName zu verwenden oder um eine bestimmte Zertifizierungsstelle (CA) in die Verifizierungskette aufzunehmen. Weitere Informationen finden Sie unter Ersetzen des ESXi-Standardzertifikats durch ein benutzerdefiniertes Zertifikat.

SSH-Schlüssel

Der SSH-Schlüssel sichert die Kommunikation mit dem ESXi-Host unter Verwendung des SSH-Protokolls. Beim ersten Start erzeugt das System einen nistp256-ECDSA-Schlüssel und die SSH-Schlüssel als 2048-Bit-RSA-Schlüssel. Der SSH-Server ist standardmäßig deaktiviert. Der SSH-Zugriff ist in erster Linie zur Fehlerbehebung gedacht. Die SSH-Schlüssel sind nicht für die Verwendung durch den Administrator vorgesehen. Für die Anmeldung über SSH sind Administratorrechte erforderlich, die gleichbedeutend mit allen Hostberechtigungen sind. Informationen zum Aktivieren von SSH-Zugriff finden Sie unter Aktivieren des Zugriffs auf ESXi Shell mithilfe des vSphere Client.

Die öffentlichen SSH-Schlüssel befinden sich in folgendem Speicherort:

/etc/ssh/ssh_host_rsa_key.pub

/etc/ssh/ssh_host_ecdsa_key.pub

Die privaten SSH-Schlüssel befinden sich in folgendem Speicherort:

/etc/ssh/ssh_host_rsa_key

/etc/ssh/ssh_host_ecdsa_key

Erstellung des kryptografischen TLS-Schlüssels

Die Konfiguration der Einrichtung des kryptografischen TLS-Schlüssels wird durch die Auswahl von TLS-Verschlüsselungs-Suites gesteuert, die ECC-basierte Schlüsselvereinbarungen mithilfe von Ecliptic Curve Diffie Hellman (ECDH) (gemäß NIST Special Publication 800-56A) auswählt.

Erstellung des kryptografischen SSH-Schlüssels

Die Erstellungskonfiguration des kryptografischen SSH-Schlüssels wird über die SSHD-Konfiguration gesteuert. ESXi stellt eine Standardkonfiguration bereit, die eine Schlüsselvereinbarung mit Ephemeral Diffie-Hellman (DH) (wie in NIST Special Publication 800-56A angegeben) und Ecliptic Curve Diffie-Hellman (ECHD) (wie in NIST Special Publication 800- -56A angegeben) zulässt. Die SSHD-Konfiguration ist nicht für die Verwendung durch den Administrator vorgesehen.