ESXi genera diverse chiavi asimmetriche per il normale funzionamento. La chiave Transport Layer Security (TLS) protegge la comunicazione con l'host ESXi utilizzando il protocollo TLS. La chiave SSH protegge la comunicazione con l'host ESXi mediante il protocollo SSH.
Chiave Transport Layer Security
La chiave Transport Layer Security (TLS) protegge la comunicazione con l'host utilizzando il protocollo TLS. Al primo avvio, l'host ESXi genera la chiave TLS come chiave RSA a 2048 bit. Attualmente, ESXi non implementa la generazione automatica di chiavi ECDSA per TLS. La chiave privata TLS non è progettata per essere utilizzata dall'amministratore.
La chiave TLS si trova nella seguente posizione non persistente:
/etc/vmware/ssl/rui.key
La chiave pubblica TLS (incluse le autorità di certificazione intermedie) si trova nella seguente posizione non persistente come certificato X.509 v3:
/etc/vmware/ssl/rui.crt
Quando si utilizza vCenter Server con gli host ESXi, vCenter Server genera automaticamente una CSR, la firma utilizzando la VMware Certificate Authority (VMCA) e genera il certificato. Quando si aggiunge un host ESXi a vCenter Server, vCenter Server installa il certificato risultante sull'host ESXi.
Il certificato TLS predefinito è autofirmato e contiene un campo subjectAltName corrispondente al nome host sull'installazione. È possibile installare un certificato diverso, ad esempio per utilizzare un subjectAltName diverso o per includere un'autorità di certificazione (CA) specifica nella catena di verifica. Vedere Sostituzione del certificato ESXi predefinito con un certificato personalizzato.
Chiave SSH
La chiave SSH protegge la comunicazione con l'host ESXi mediante il protocollo SSH. Al primo avvio, il sistema genera una chiave ECDSA nistp256 e le chiavi SSH come chiavi RSA a 2048 bit. Il server SSH è disattivato per impostazione predefinita. L'accesso SSH è progettato principalmente per la risoluzione dei problemi. Le chiavi SSH non sono pensate per essere sottoposte a servizio dall'amministratore. L'accesso tramite SSH richiede privilegi amministrativi equivalenti al controllo completo dell'host. Per abilitare l'accesso SSH, vedere Attivazione dell'accesso a ESXi Shell utilizzando vSphere Client.
Le chiavi pubbliche SSH si trovano nella seguente posizione:
/etc/ssh/ssh_host_rsa_key.pub
/etc/ssh/ssh_host_ecdsa_key.pub
Le chiavi private SSH si trovano nella seguente posizione:
/etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_ecdsa_key
Creazione di una chiave crittografica TLS
La configurazione della creazione della chiave crittografica TLS è regolata dalla scelta dei pacchetti di crittografia TLS, che seleziona accordi di chiavi basati su ECC utilizzando la Curvacliptica Diffie Hellman (ECDH) (come specificato nella Pubblicazione speciale NIST 800-56A).
Creazione di una chiave crittografica SSH
La configurazione della creazione della chiave crittografica SSH è regolata dalla configurazione SSHD. ESXi fornisce una configurazione predefinita che consente un accordo della chiave effimera Diffie Hellman (DH) (come specificato nella Pubblicazione speciale NIST 800-56A) e un protocollo Elliptic-curve Diffie-Hellman (ECHD) (come specificato nella Pubblicazione speciale NIST 800-56A). La configurazione SSHD non è progettata per essere eseguita dall'amministratore.