Quando si modificano le impostazioni del proxy Web, è necessario tenere conto di diverse linee guida per la crittografia e la sicurezza degli utenti.
- Non configurare i certificati che utilizzano una password o una passphrase. ESXi non supporta i proxy Web che utilizzano password o passphrase, definite anche chiavi crittografate. Se si configura un proxy Web che richiede una password o una passphrase, i processi ESXi non possono essere avviati correttamente.
-
Per supportare la crittografia di nomi utente, password e pacchetti, SSL è attivato per impostazione predefinita per le connessioni di vSphere Web Services SDK. Se si desidera configurare queste connessioni in modo che non crittografino le trasmissioni, disattivare SSL per la connessione di vSphere Web Services SDK commutando la connessione da HTTPS a HTTP.
È consigliabile disattivare SSL solo se è stato creato un ambiente totalmente affidabile per questi client, in cui sono presenti firewall e le trasmissioni da e verso l'host sono completamente isolate. La disattivazione di SSL può migliorare le prestazioni, perché si evita il sovraccarico necessario per eseguire la crittografia.
-
Per proteggersi dall'uso improprio dei servizi ESXi, la maggior parte dei servizi ESXi interni sono accessibili solo tramite la porta 443, ovvero la porta utilizzata per la trasmissione HTTPS. La porta 443 agisce come proxy inverso per ESXi. È possibile visualizzare un elenco di servizi su ESXi tramite una pagina di benvenuto HTTP, ma non è possibile accedere direttamente ai servizi delle schede di storage senza una regolare autorizzazione.
È possibile modificare questa configurazione in modo che i singoli servizi siano accessibili direttamente tramite connessioni HTTP. Non apportare questa modifica a meno che non si utilizzi ESXi in un ambiente totalmente affidabile.
- Quando si aggiorna l'ambiente, il certificato rimane valido.