ESXi genera varias claves asimétricas para el funcionamiento normal. La clave de seguridad de la capa de transporte (Transport Layer Security, TLS) protege la comunicación con el host ESXi mediante el protocolo TLS. La clave SSH protege la comunicación con el host ESXi mediante el protocolo SSH.
Clave de seguridad de la capa de transporte
La clave de seguridad de la capa de transporte (TLS) protege la comunicación con el host mediante el protocolo TLS. Tras el primer arranque, el host ESXi genera la clave TLS como una clave RSA de 2048 bits. Actualmente, ESXi no implementa la generación automática de claves ECDSA para TLS. La clave privada de TLS no está pensada para que el administrador la procese.
La clave TLS reside en la siguiente ubicación no persistente:
/etc/vmware/ssl/rui.key
La clave pública TLS (incluidas las entidades de certificación intermedias) reside en la siguiente ubicación no persistente como un certificado X.509 v3:
/etc/vmware/ssl/rui.crt
Cuando se utiliza vCenter Server con los hosts ESXi, vCenter Server genera una CSR automáticamente, la firma mediante la entidad de certificación de VMware (VMware Certificate Authority, VMCA) y genera el certificado. Cuando se agrega un host ESXi a vCenter Server, vCenter Server instala el certificado resultante en el host ESXi.
El certificado TLS predeterminado se autofirma, con un campo subjectAltName que coincide con el nombre de host durante la instalación. Puede instalar un certificado diferente, por ejemplo, para utilizar un subjectAltName diferente o para incluir una entidad de certificación (Certificate Authority, CA) en particular en la cadena de verificación. Consulte Reemplazo de certificados y claves SSL de ESXi.
También puede utilizar VMware Host Client para reemplazar el certificado. Consulte Administrar un host único de vSphere: VMware Host Client.
Clave SSH
La clave SSH protege la comunicación con el host ESXi mediante el protocolo SSH. Tras el primer arranque, el sistema genera una clave ECDSA nistp256 y las claves SSH como claves RSA de 2048 bits. El servidor SSH está desactivado de forma predeterminada. El acceso SSH está destinado principalmente a fines de solución de problemas. Las claves SSH no están pensadas para que el administrador las procese. El inicio de sesión a través de SSH requiere privilegios administrativos equivalentes al control total del host. Para habilitar el acceso SSH, consulte Habilitar el acceso a ESXi Shell.
Las claves públicas SSH residen en la siguiente ubicación:
/etc/ssh/ssh_host_rsa_key.pub
/etc/ssh/ssh_host_ecdsa_key.pub
Las claves privadas SSH residen en la siguiente ubicación:
/etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_ecdsa_key
Establecimiento de clave criptográfica TLS
La configuración del establecimiento de claves criptográficas TLS se rige por la elección de conjuntos de claves de cifrado TLS, que seleccionan uno de los transportes de claves basados en RSA (según se especifica en la publicación especial NIST 800-56B) o los acuerdos de claves basados en ECC mediante el uso de acuerdos de clave de Ecliptic Curve Diffie Hellman (ECDH) efímeros (como se especifica en la publicación especial NIST 800-56A).
Establecimiento de clave criptográfica SSH
La configuración del establecimiento de la clave criptográfica SSH se rige por la configuración de SSHD. ESXi proporciona una configuración predeterminada que permite el transporte de claves basado en RSA (según se especifica en la publicación especial NIST 800-56B), el acuerdo de clave Diffie-Hellman (DH) efímero (según se especifica en el en la publicación especial NIST 800-56A) y el acuerdo de clave Ecliptic Curve Diffie Hellman (ECHD) efímero (como se especifica en la publicación especial 800-56A de NIST). La configuración de SSHD no está pensada para que el administrador la procese.