ESXi genera diverse chiavi asimmetriche per il normale funzionamento. La chiave Transport Layer Security (TLS) protegge la comunicazione con l'host ESXi utilizzando il protocollo TLS. La chiave SSH protegge la comunicazione con l'host ESXi mediante il protocollo SSH.

Chiave Transport Layer Security

La chiave Transport Layer Security (TLS) protegge la comunicazione con l'host utilizzando il protocollo TLS. Al primo avvio, l'host ESXi genera la chiave TLS come chiave RSA a 2048 bit. Attualmente, ESXi non implementa la generazione automatica di chiavi ECDSA per TLS. La chiave privata TLS non è progettata per essere utilizzata dall'amministratore.

La chiave TLS si trova nella seguente posizione non persistente:

/etc/vmware/ssl/rui.key

La chiave pubblica TLS (incluse le autorità di certificazione intermedie) si trova nella seguente posizione non persistente come certificato X.509 v3:

/etc/vmware/ssl/rui.crt

Quando si utilizza vCenter Server con gli host ESXi, vCenter Server genera automaticamente una CSR, la firma utilizzando la VMware Certificate Authority (VMCA) e genera il certificato. Quando si aggiunge un host ESXi a vCenter Server, vCenter Server installa il certificato risultante sull'host ESXi.

Il certificato TLS predefinito è autofirmato e contiene un campo subjectAltName corrispondente al nome host sull'installazione. È possibile installare un certificato diverso, ad esempio per utilizzare un subjectAltName diverso o per includere un'autorità di certificazione (CA) specifica nella catena di verifica. Vedere Sostituzione di chiavi e certificati SSL ESXi.

È inoltre possibile utilizzare VMware Host Client per sostituire il certificato. Vedere Gestione di un singolo host di vSphere - VMware Host Client.

Chiave SSH

La chiave SSH protegge la comunicazione con l'host ESXi mediante il protocollo SSH. Al primo avvio, il sistema genera una chiave ECDSA nistp256 e le chiavi SSH come chiavi RSA a 2048 bit. Il server SSH è disattivato per impostazione predefinita. L'accesso SSH è progettato principalmente per la risoluzione dei problemi. Le chiavi SSH non sono pensate per essere sottoposte a servizio dall'amministratore. L'accesso tramite SSH richiede privilegi amministrativi equivalenti al controllo completo dell'host. Per abilitare l'accesso SSH, vedere Attivazione dell'accesso a ESXi Shell utilizzando vSphere Client.

Le chiavi pubbliche SSH si trovano nella seguente posizione:

/etc/ssh/ssh_host_rsa_key.pub

/etc/ssh/ssh_host_ecdsa_key.pub

Le chiavi private SSH si trovano nella seguente posizione:

/etc/ssh/ssh_host_rsa_key

/etc/ssh/ssh_host_ecdsa_key

Creazione di una chiave crittografica TLS

La configurazione della creazione della chiave crittografica TLS è regolata dalla scelta dei pacchetti di crittografia TLS, che seleziona accordi di chiavi basati su ECC utilizzando la Curvacliptica Diffie Hellman (ECDH) (come specificato nella Pubblicazione speciale NIST 800-56A).

Creazione di una chiave crittografica SSH

La configurazione della creazione della chiave crittografica SSH è regolata dalla configurazione SSHD. ESXi fornisce una configurazione predefinita che consente un accordo della chiave effimera Diffie Hellman (DH) (come specificato nella Pubblicazione speciale NIST 800-56A) e un protocollo Elliptic-curve Diffie-Hellman (ECHD) (come specificato nella Pubblicazione speciale NIST 800-56A). La configurazione SSHD non è progettata per essere eseguita dall'amministratore.