Web プロキシ設定を変更する場合、暗号化とユーザー セキュリティについて考慮すべきガイドラインがいくつかあります。

注:

ホストのディレクトリまたは認証メカニズムに変更を加えたあと、ホスト プロセスを再開します。

  • パスワードまたはパス フレーズを使用する証明書を設定しないでください。ESXi は、パスワードやパス フレーズ (暗号鍵とも呼ばれる) をサポートしていません。パスワードまたはパス フレーズを設定すると、ESXi プロセスが正しく起動できません。

  • デフォルト以外の場所で証明書を検索するように Web プロキシを構成できます。この機能は、複数のホストで証明書を使用できるように、その証明書を 1 台のマシンで一元管理している企業で役に立ちます。

    注意:

    証明書がホストにローカルに格納されていない場合 (たとえば、NFS 共有に格納されている場合)、ESXi でネットワーク接続が失われると、ホストがそれらの証明書にアクセスできなくなります。その結果、ホストに接続するクライアントが、ホストとの安全な SSL ハンドシェイクに正常に参加できなくなります。

  • ユーザー名、パスワード、およびパケットの暗号化をサポートするために、vSphere Web Service SDK 接続では、デフォルトで SSL が有効になっています。これらの接続が送信内容を暗号化しないように構成する場合は、接続を HTTPS から HTTP に切り替えて、vSphere Web Service SDK 接続の SSL を無効にします。

    ファイアウォールが適切に設定されてホスト間の転送が完全に隔離された、完全に信頼できる環境をそれらのクライアントに作成した場合のみ、SSL を無効にすると考えてください。SSL を無効にすると、暗号化の実行に必要なオーバーヘッドが回避されるので、パフォーマンスが向上します。

  • ESXi サービスの悪用を防ぐために、ほとんどの内部 ESXi サービスは、HTTPS 転送に使用されるポート 443 からのみアクセスできます。ポート 443 は、ESXi のリバース プロキシとして機能します。ESXi のサービスのリストは HTTP の「ようこそ」ページから参照できますが、適切な権限がないと、ストレージ アダプタ サービスに直接アクセスすることはできません。

    HTTP 接続を介して個々のサービスに直接アクセスできるように、この構成を変更できます。ただし、完全に信頼できる環境で ESXi を使用していないかぎり、このような変更は行わないでください。

  • vCenter Server をアップグレードしても、証明書はそのまま残ります。