ESXi では、通常の操作に対しいくつかの非対称キーが生成されます。トランスポート レイヤー セキュリティ (TLS) キーにより、TLS プロトコルを使用した ESXi ホストとの通信が保護されます。SSH キーは、SSH プロトコルを使用して、ESXi ホストとの通信を保護します。
トランスポート レイヤー セキュリティ キー
トランスポート レイヤー セキュリティ (TLS) キーは、TLS プロトコルを使用してホストとの通信を保護します。最初の起動時に、ESXi ホストでは TLS キーが 2048 ビット RSA キーとして生成されます。現在、ESXi は TLS 用 ECDSA キーの自動生成を実装していません。TLS プライベート キーは、管理者が処理するものではありません。
TLS キーは、以下の読み取り専用の場所にあります。
/etc/vmware/ssl/rui.key
TLS パブリック キー(中間認証局を含む)は、次の読み取り専用の場所に X.509 v3 証明書として配置されます。
/etc/vmware/ssl/rui.crt
vCenter Server を ESXi ホストで使用する場合、vCenter Server では CSR が自動的に生成され、VMware Certificate Authority (VMCA) を使用して署名され、証明書が生成されます。ESXi ホストを vCenter Server に追加すると、vCenter Server では結果の証明書が ESXi ホストにインストールされます。
デフォルトの TLS 証明書は自己署名されます。subjectAltName フィールドは、インストール時のホスト名と一致します。別の証明書をインストールして、たとえば、別の subjectAltName を使用したり、特定の認証局 (CA) を検証チェーンに含めることができます。ESXi SSL 証明書とキーの置き換えを参照してください。
VMware Host Client を使用して、証明書を置き換えることもできます。vSphere の単一ホスト管理:VMware Host Clientを参照してください。
SSH キー
SSH キーは、SSH プロトコルを使用して、ESXi ホストとの通信を保護します。最初の起動時に、nistp256 ECDSA キーが生成され、SSH キーが 2048 ビット RSA キーとして生成されます。SSH サーバはデフォルトで無効になっています。SSH アクセスは、主にトラブルシューティングを目的としています。SSH キーは、管理者によるサービス提供の対象外です。SSH を使用してログインするには、完全なホスト制御と同等の管理者権限が必要になります。SSH アクセスを有効にする手順については、ESXi Shell へのアクセスの有効化を参照してください。
SSH パブリック キーは次の場所に配置されます。
/etc/ssh/ssh_host_rsa_key.pub
/etc/ssh/ssh_host_ecdsa_key.pub
SSH プライベート キーは次の場所に配置されます。
/etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_ecdsa_key
TLS 暗号化キー確立
TLS 暗号化キー確立の構成は、RSA ベース キー転送(NIST Special Publication 800-56B で指定)、または短期的な Ecliptic Curve Diffie Hellman (ECDH)(NIST Special Publication 800-56A で指定)を使用した ECC ベース キー契約のいずれかを選択する TLS 暗号化スイートの選択によって管理されます。
SSH 暗号化キー確立
SSH 暗号化キー確立の構成は、SSHD 構成によって管理されます。ESXi では、RSA ベース キー転送(NIST Special Publication 800-56B で指定)、短期的な Diffie Hellman (DH)(NIST Special Publication 800-56A で指定)キー契約、および短期的な Ecliptic Curve Diffie Hellman (ECHD)(NIST Special Publication 800-56A で指定)を許可するデフォルトの構成が提供されます。SSHD 構成は、管理者によるサービス提供の対象外です。