Web プロキシ設定を変更する場合、暗号化とユーザー セキュリティについて考慮すべきガイドラインがいくつかあります。
注: ホストのディレクトリまたは認証メカニズムに変更を加えた後で、ホスト プロセスを再開します。
- パスワードまたはパス フレーズを使用する証明書を設定しないでください。ESXi は、パスワードやパス フレーズ(暗号鍵とも呼ばれる)を使用する Web プロキシをサポートしていません。パスワードまたはパス フレーズを必要とする Web プロキシを設定すると、ESXi プロセスが正しく起動できません。
-
ユーザー名、パスワード、およびパケットの暗号化をサポートするために、vSphere Web Services SDK 接続では、デフォルトで SSL が有効になっています。これらの接続が送信内容を暗号化しないように構成する場合は、接続を HTTPS から HTTP に切り替えて、vSphere Web Services SDK 接続の SSL を無効にします。
ファイアウォールが適切に設定されてホスト間の転送が完全に隔離された、完全に信頼できる環境をそれらのクライアントに作成した場合のみ、SSL を無効にすると考えてください。SSL を無効にすると、暗号化の実行に必要なオーバーヘッドが回避されるので、パフォーマンスが向上します。
-
ESXi サービスの悪用を防ぐために、ほとんどの内部 ESXi サービスは、HTTPS 転送に使用されるポート 443 からのみアクセスできます。ポート 443 は、ESXi のリバース プロキシとして機能します。ESXi のサービスのリストは HTTP の「ようこそ」ページから参照できますが、適切な権限がないと、ストレージ アダプタ サービスに直接アクセスすることはできません。
HTTP 接続を介して個々のサービスに直接アクセスできるように、この構成を変更できます。ただし、完全に信頼できる環境で ESXi を使用していないかぎり、このような変更は行わないでください。
- 環境をアップグレードしても、証明書はそのまま残ります。