ESXi는 정상적인 작업을 위한 여러 비대칭 키를 생성합니다. TLS(Transport Layer Security) 키는 TLS 프로토콜을 사용하여 ESXi 호스트와의 통신을 보호합니다. SSH 키는 SSH 프로토콜을 사용하여 ESXi 호스트와의 통신을 보호합니다.

TLS(Transport Layer Security) 키

TLS(Transport Layer Security) 키는 TLS 프로토콜을 사용하여 호스트와의 통신을 보호합니다. 처음 부팅하면 ESXi 호스트가 TLS 키를 2048비트 RSA 키로 생성합니다. 현재 ESXi는 TLS에 대한 ECDSA 키의 자동 생성을 구현하지 않습니다. TLS 개인 키는 관리자가 서비스하기 위한 것이 아닙니다.

TLS 키는 다음과 같은 비영구적 위치에 상주합니다.

/etc/vmware/ssl/rui.key

TLS 공용 키(중간 인증 기관 포함)는 다음과 같은 비영구적 위치에 X.509 v3 인증서로 상주합니다.

/etc/vmware/ssl/rui.crt

ESXi 호스트에서 vCenter Server를 사용하면 vCenter Server는 CSR을 자동으로 생성하고 VMCA(VMware Certificate Authority)를 사용하여 서명한 후 인증서를 생성합니다. ESXi 호스트를 vCenter Server에 추가하면 vCenter Server가 결과 인증서를 ESXi 호스트에 설치합니다.

기본 TLS 인증서는 설치 시 호스트 이름과 일치하는 subjectAltName 필드를 사용하여 자체 서명됩니다. 예를 들어 다른 인증서를 설치하여 다른 subjectAltName을 사용하거나 확인 체인에 특정 CA(인증 기관)를 포함할 수 있습니다. ESXi SSL 인증서 및 키 교체의 내용을 참조하십시오.

VMware Host Client를 사용하여 인증서를 교체할 수도 있습니다. "vSphere 단일 호스트 관리 - VMware Host Client" 의 내용을 참조하십시오.

SSH 키

SSH 키는 SSH 프로토콜을 사용하여 ESXi 호스트와의 통신을 보호합니다. 처음 부팅하면 시스템에서 nistp256 ECDSA 키와 SSH 키가 2048비트 RSA 키로 생성됩니다. SSH 서버는 기본적으로 비활성화되어 있습니다. SSH 액세스는 주로 문제 해결을 위한 것입니다. SSH 키는 관리자가 서비스하기 위한 것이 아닙니다. SSH를 통해 로그인하려면 전체 호스트 제어와 동등한 관리 권한이 필요합니다. SSH 액세스를 사용하도록 설정하려면 vSphere Client를 사용하여 ESXi Shell에 대한 액세스 활성화 항목을 참조하십시오.

SSH 공용 키는 다음 위치에 있습니다.

/etc/ssh/ssh_host_rsa_key.pub

/etc/ssh/ssh_host_ecdsa_key.pub

SSH 개인 키는 다음 위치에 상주합니다.

/etc/ssh/ssh_host_rsa_key

/etc/ssh/ssh_host_ecdsa_key

TLS 암호화 키 설정

TLS 암호화 키 설정 구성은 TLS 암호 그룹 선택에 따라 결정되며, 이것은 일시적 ECDH(Ecliptic Curve Diffie Hellman)(NIST Special Publication 800-56A에 명시됨)를 사용하는 ECC 기반 키 계약 또는 RSA 기반 키 전송(NIST Special Publication 800-56B에 명시됨) 중 하나를 선택합니다.

SSH 암호화 키 설정

SSH 암호화 키 설정의 구성은 SSHD 구성에 따라 결정됩니다. ESXi는 RSA 기반 키 전송(NIST Special Publication 800-56B에 명시됨), 일시적 DH(DH)(NIST Special Publication 800-56A에 명시됨) 키 계약, 일시적 ECDH(Ecliptic Curve Diffie Hellman)(NIST Special Publication 800-56A에 명시됨)를 허용하는 기본 구성을 제공합니다. SSHD 구성은 관리자가 서비스하기 위한 것이 아닙니다.