ESXi génère plusieurs clés asymétriques pour un fonctionnement normal. La clé TLS (Transport Layer Security) sécurise les communications avec l'hôte ESXi à l'aide du protocole TLS. La clé SSH sécurise les communications avec l'hôte ESXi à l'aide du protocole SSH.
Clé Transport Layer Security (TLS)
La clé TLS (Transport Layer Security) sécurise les communications avec l'hôte à l'aide du protocole TLS. Lors du premier démarrage, l'hôte ESXi génère la clé TLS en tant que clé RSA 2 048 bits. Actuellement, ESXi n'implémente pas la génération automatique de clés ECDSA pour TLS. La clé privée TLS n'est pas destinée à être prise en charge par l'administrateur.
La clé TLS réside à l’emplacement non persistant suivant :
/etc/vmware/ssl/rui.key
La clé publique TLS (y compris les autorités de certification intermédiaires) réside à l’emplacement non persistant suivant en tant que certificat X.509 v3 :
/etc/vmware/ssl/rui.crt
Lorsque vous utilisez vCenter Server avec vos hôtes ESXi, l'instance de vCenter Server génère automatiquement une CSR, la signe à l'aide de VMware Certificate Authority (VMCA) et génère le certificat. Lorsque vous ajoutez un hôte ESXi à l'instance de vCenter Server, vCenter Server installe ce certificat résultant sur l'hôte ESXi.
Le certificat TLS par défaut est auto-signé, avec un champ subjectAltName correspondant au nom d’hôte lors de l’installation. Vous pouvez installer un certificat différent, par exemple pour utiliser un autre subjectAltName ou pour inclure une autorité de certification (CA) particulière dans la chaîne de vérification. Reportez-vous à la section Remplacement de certificats et de clés SSL pour ESXi.
Vous pouvez également utiliser VMware Host Client pour remplacer le certificat. Reportez-vous à la section Gestion individuelle des hôtes vSphere - VMware Host Client.
Clé SSH
La clé SSH sécurise les communications avec l'hôte ESXi à l'aide du protocole SSH. Lors du premier démarrage, le système génère une clé ECDSA nistp256 et les clés SSH sous forme de clés RSA 2 048 bits. Le serveur SSH est désactivé par défaut. L’accès SSH est conçu principalement à des fins de dépannage. Les clés SSH ne sont pas destinées à être prises en charge par l'administrateur. La connexion via SSH nécessite des privilèges d’administration équivalents au contrôle complet de l’hôte. Pour activer l'accès SSH, reportez-vous à la section Activer l'accès à ESXi Shell.
Les clés publiques SSH résident à l’emplacement suivant :
/etc/ssh/ssh_host_rsa_key.pub
/etc/ssh/ssh_host_ecdsa_key.pub
Les clés privées SSH résident à l’emplacement suivant :
/etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_ecdsa_key
Établissement de la clé de chiffrement TLS
La configuration de l'établissement de la clé déchiffrement TLS est régie par le choix des suites de chiffrement TLS, qui sélectionnent l'un des transports de clés basés sur RSA (comme spécifié dans la publication spéciale NIST 800-56B) ou les contrats de clé ECC à l'aide d'Ecliptic Curve Diffie Hellman (ECDH) éphémère (comme spécifié dans la publication spéciale NIST 800-56A).
Établissement de la clé de chiffrement SSH
La configuration de l’établissement de la clé cryptographique SSH est régie par la configuration SSHD. ESXi fournit une configuration par défaut qui permet le transport de clés basé sur RSA (tel que spécifié dans la publication spéciale NIST 800-56B), un contrat de clé D-Hellman (DH) éphémère (tel que spécifié dans l'accord de clé publication spéciale NIST 800-56A) et un Ecliptic Curve Diffie Hellman (ECHD) éphémère (tel que spécifié dans la publication spéciale NIST 800-56A). La configuration SSHD n'est pas destinée à être prise en charge par l'administrateur.