Lorsque vous modifiez les paramètres proxy Web, vous devez prendre en compte plusieurs recommandations de sécurité utilisateur et de chiffrement.

Remarque :

Redémarrez le processus hôte après avoir modifié les répertoires hôtes ou les mécanismes d'authentification.

  • Ne configurez pas de certificats à l'aide d'un mot de passe ou de phrases secrètes. ESXi ne prend en charge ni les mots de passe ni les phrases secrètes, également nommées clés chiffrées. Si vous configurez un mot de passe ou une phrase secrète, les processus ESXi ne pourront pas démarrer correctement.

  • Vous pouvez configurer le proxy Web afin qu'il recherche des certificats dans un emplacement autre que celui par défaut. Cette fonctionnalité s'avère utile pour les entreprises qui préfèrent centraliser leurs certificats sur une seule machine afin que plusieurs hôtes puissent les utiliser.

    ATTENTION :

    Si des certificats ne sont pas stockés localement sur l'hôte (s'ils sont, par exemple, stockés sur un partage NFS), l'hôte ne peut pas accéder à ces certificats si ESXi perd la connectivité réseau. Par conséquent, un client se connectant à l'hôte ne peut pas participer à un protocole de transfert SSL sécurisé avec l'hôte.

  • Pour prendre en charge le chiffrement de noms d'utilisateur, de mot de passe et de paquets, SSL est activé par défaut pour les connexions de vSphere Web services SDK. Si vous souhaitez configurer ces connexions afin qu'elles ne chiffrent pas les transmissions, désactivez SSL pour votre connexion vSphere Web Services SDK en remplaçant le paramètre de connexion HTTPS par HTTP.

    Envisagez de mettre hors tension SSL uniquement si vous avez créé un environnement parfaitement fiable pour ces clients, avec des pare-feu et des transmissions depuis/vers l'hôte totalement isolées. La désactivation de SSL peut améliorer les performances car vous évitez le traitement requis pour l'exécution du chiffrement.

  • Pour vous protéger contre les utilisations abusives des services ESXi, la plupart des services ESXi internes sont uniquement accessibles via le port 443, qui est utilisé pour la transmission HTTPS. Le port 443 agit comme proxy inversé pour ESXi. Vous pouvez consulter la liste de services sur ESXi via une page d'accueil HTTP, mais vous ne pouvez pas directement accéder aux services d'Adaptateurs de stockage sans autorisation.

    Vous pouvez modifier cette configuration afin que des services individuels soient directement accessibles via des connexions HTTP. N'effectuez pas ce changement à moins d'utiliser ESXi dans un environnement parfaitement fiable.

  • Lorsque vous mettez vCenter Server à niveau, le certificat est conservé.