修改 Web 代理設定時,需要考慮若干加密和使用者安全性準則。

備註︰

對主機目錄或驗證機制做出任何變更之後重新啟動主機程序。

  • 不要使用密碼或複雜密碼設定憑證。ESXi 不支援密碼或複雜密碼 (也稱為加密的金鑰)。如果設定了密碼或複雜密碼,ESXi 程序將無法正確啟動。

  • 您可以設定 Web 代理在非預設位置搜尋憑證。對於偏好於將其憑證集中在單一電腦上以便使多台主機可使用憑證的公司,此功能相當有用。

    警告︰

    若憑證未儲存在本機主機上 - 例如儲存在 NFS 共用上 - ESXi 遺失網路連線能力時,則主機無法存取這些憑證。因此,連線至主機的用戶端無法成功地參與同主機的安全 SSL 交握。

  • 為了支援對使用者名稱、密碼和封包進行加密,vSphere Web Services SDK 連線的 SSL 預設為啟用。如果要設定這些連線以使它們不對傳輸進行加密,請透過將連線從 HTTPS 切換至 HTTP 以針對 vSphere Web Services SDK 連線停用 SSL。

    僅當為這些用戶端建立了完全受信任的環境時才可考慮停用 SSL,在這樣的環境中,安裝有防火牆,而且與主機之間的傳輸是完全隔離的。停用 SSL 可提高效能,因為避免了執行加密所需的額外負荷。

  • 為了防止誤用 ESXi 服務,大多數內部 ESXi 服務只能透過連接埠 443 (用於 HTTPS 傳輸的連接埠) 來存取。連接埠 443 可充當 ESXi 的反向 Proxy。透過 HTTP 歡迎分頁可看到 ESXi 上的服務清單,但如果未經適當授權,則無法直接存取儲存裝置介面卡服務。

    可對此組態進行變更,以便可透過 HTTP 連線直接存取個別服務。除非是在完全受信任的環境中使用 ESXi,否則不要進行此變更。

  • 在升級 vCenter Server 時,憑證仍然保留在原位。