ESXi genera varias claves asimétricas para el funcionamiento normal. La clave de seguridad de la capa de transporte (Transport Layer Security, TLS) protege la comunicación con el host ESXi mediante el protocolo TLS. La clave SSH protege la comunicación con el host ESXi mediante el protocolo SSH.

Clave de seguridad de la capa de transporte

La clave de seguridad de la capa de transporte (TLS) protege la comunicación con el host mediante el protocolo TLS. Tras el primer arranque, el host ESXi genera la clave TLS como una clave RSA de 2048 bits. Actualmente, ESXi no implementa la generación automática de claves ECDSA para TLS. La clave privada de TLS no está pensada para que el administrador la procese.

La clave TLS reside en la siguiente ubicación no persistente:

/etc/vmware/ssl/rui.key

La clave pública TLS (incluidas las entidades de certificación intermedias) reside en la siguiente ubicación no persistente como un certificado X.509 v3:

/etc/vmware/ssl/rui.crt

Cuando se utiliza vCenter Server con los hosts ESXi, vCenter Server genera una CSR automáticamente, la firma mediante la entidad de certificación de VMware (VMware Certificate Authority, VMCA) y genera el certificado. Cuando se agrega un host ESXi a vCenter Server, vCenter Server instala el certificado resultante en el host ESXi.

El certificado TLS predeterminado se autofirma, con un campo subjectAltName que coincide con el nombre de host durante la instalación. Puede instalar un certificado diferente, por ejemplo, para utilizar un subjectAltName diferente o para incluir una entidad de certificación (Certificate Authority, CA) en particular en la cadena de verificación. Consulte Reemplazar el certificado de ESXi predeterminado por un certificado personalizado.

Clave SSH

La clave SSH protege la comunicación con el host ESXi mediante el protocolo SSH. Tras el primer arranque, el sistema genera una clave ECDSA nistp256 y las claves SSH como claves RSA de 2048 bits. El servidor SSH está desactivado de forma predeterminada. El acceso SSH está destinado principalmente a fines de solución de problemas. Las claves SSH no están pensadas para que el administrador las procese. El inicio de sesión a través de SSH requiere privilegios administrativos equivalentes al control total del host. Para habilitar el acceso SSH, consulte Activar el acceso a ESXi Shell mediante vSphere Client.

Las claves públicas SSH residen en la siguiente ubicación:

/etc/ssh/ssh_host_rsa_key.pub

/etc/ssh/ssh_host_ecdsa_key.pub

Las claves privadas SSH residen en la siguiente ubicación:

/etc/ssh/ssh_host_rsa_key

/etc/ssh/ssh_host_ecdsa_key

Establecimiento de clave criptográfica TLS

La configuración del establecimiento de claves criptográficas TLS se rige por la elección de conjuntos de claves de cifrado TLS, que seleccionan acuerdos de claves basados en ECC mediante el uso de acuerdos de clave de Ecliptic Curve Diffie Hellman (ECDH) efímeros (como se especifica en la publicación especial 800-56A de NIST).

Establecimiento de clave criptográfica SSH

La configuración del establecimiento de la clave criptográfica SSH se rige por la configuración de SSHD. ESXi proporciona una configuración predeterminada que permite el acuerdo de clave Diffie-Hellman (DH) efímero (según se especifica en la publicación especial NIST 800-56A) y el acuerdo de clave Ecliptic Curve Diffie Hellman (ECHD) efímero (como se especifica en la publicación especial 800-56A de NIST). La configuración de SSHD no está pensada para que el administrador la procese.