可以設定用於加密與 ESXi 主機通訊的安全性通訊協定和密碼編譯演算法。
傳輸層安全性 (TLS) 金鑰使用 TLS 通訊協定保護與主機的通訊。首次開機時,ESXi 主機會以 2048 位元 RSA 金鑰的形式產生 TLS 金鑰。目前,ESXi 不為 TLS 自動產生 ECDSA 金鑰。TLS 私密金鑰不由管理員進行維護。
SSH 金鑰使用 SSH 通訊協定保護與 ESXi 主機的通訊。首次開機時,系統會以 2048 位元 RSA 金鑰的形式產生 SSH 金鑰。依預設,SSH 伺服器處於停用狀態。SSH 存取主要用於疑難排解目的。SSH 金鑰不由管理員進行維護。透過 SSH 登入需要相當於完全主機控制的管理權限。若要啟用 SSH 存取,請參閱在 VMware Host Client 中啟用安全殼層 (SSH)。
可以設定以下
ESXi 主機安全性金鑰設定。
| 索引鍵 | 預設值 | 說明 |
|---|---|---|
| UserVars.ESXiVPsAllowedCiphers | !aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES | 預設密碼控制字串。 |
| UserVars.ESXiVPsDisabledProtocols | sslv3,tlsv1,tlsv1.1 | 依預設,啟用 TLS v1.0、v1.1 和 v1.2 通訊協定。SSL v3.0 處於停用狀態。如果未指定通訊協定,則會啟用所有通訊協定。 |
| Config.HostAgent.ssl.keyStore.allowAny | False | 可以將任何憑證新增到 ESXi CA 信任存放區。 |
| Config.HostAgent.ssl.keyStore.allowSelfSigned | False | 可以將非 CA 自我簽署憑證新增到 ESXi CA 信任存放區,即未設定 CA 位元的憑證。 |
| Config.HostAgent.ssl.keyStore.discardLeaf | True | 捨棄新增到 ESXi CA 信任存放區的分葉憑證。 |
設定 ESXi 安全性金鑰設定:
