ESXi ホストとの通信を暗号化するために使用されるセキュリティ プロトコルと暗号化アルゴリズムを構成できます。
トランスポート レイヤー セキュリティ (TLS) キーは、TLS プロトコルを使用してホストとの通信を保護します。最初の起動時に、ESXi ホストは TLS キーを 2048 ビットの RSA キーとして生成します。現在、ESXi は TLS 用 ECDSA キーの自動生成を実装していません。TLS プライベート キーは、管理者が処理するものではありません。
SSH キーは、SSH プロトコルを使用して、ESXi ホストとの通信を保護します。最初の起動時に、SSH キーは 2048 ビットの RSA キーとして生成されます。SSH サーバはデフォルトで無効になっています。SSH アクセスは、主にトラブルシューティングを目的としています。SSH キーは、管理者が処理するものではありません。SSH を使用してログインするには、完全なホスト制御と同等の管理者権限が必要になります。SSH アクセスを有効にする手順については、VMware Host Client でのセキュア シェル (SSH) の有効化を参照してください。
次の
ESXi ホスト セキュリティ キーを構成できます。
| キー | デフォルト | 説明 |
|---|---|---|
| UserVars.ESXiVPsAllowedCiphers | !aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES | デフォルトの暗号制御文字列。 |
| UserVars.ESXiVPsDisabledProtocols | sslv3,tlsv1,tlsv1.1 | デフォルトでは、TLS v1.0、v1.1、および v1.2 プロトコルが有効になります。SSL v3.0 は無効になります。プロトコルを指定しない場合は、すべてのプロトコルが有効になります。 |
| Config.HostAgent.ssl.keyStore.allowAny | False | ESXi CA トラスト ストアに任意の証明書を追加できます。 |
| Config.HostAgent.ssl.keyStore.allowSelfSigned | False | CA 以外の自己署名証明書、つまり CA ビット セットが含まれていない証明書を ESXi CA トラスト ストアに追加できます。 |
| Config.HostAgent.ssl.keyStore.discardLeaf | True | ESXi CA トラスト ストアに追加されたリーフ証明書を破棄します。 |
ESXi のセキュリティ キーを設定するには、次の手順を実行します。
