ESXi 會針對一般作業產生多個非對稱金鑰。傳輸層安全性 (TLS) 金鑰使用 TLS 通訊協定保護與 ESXi 主機的通訊。SSH 金鑰使用 SSH 通訊協定保護與 ESXi 主機的通訊。
傳輸層安全性金鑰
傳輸層安全性 (TLS) 金鑰使用 TLS 通訊協定保護與主機的通訊。首次開機時,ESXi 主機會以 2048 位元 RSA 金鑰的形式產生 TLS 金鑰。目前,ESXi 不為 TLS 自動產生 ECDSA 金鑰。TLS 私密金鑰不由管理員進行維護。
TLS 金鑰位於以下非持續性位置:
/etc/vmware/ssl/rui.key
TLS 公開金鑰 (包括中繼憑證授權機構) 作為 X.509 v3 憑證位於以下非持續性位置:
/etc/vmware/ssl/rui.crt
將 vCenter Server 與 ESXi 主機搭配使用時,vCenter Server 會自動產生 CSR,使用 VMware Certificate Authority (VMCA) 對其進行簽署,並產生憑證。將 ESXi 主機新增到 vCenter Server 時,vCenter Server 會在該 ESXi 主機上安裝所產生的憑證。
預設 TLS 憑證是自我簽署憑證,且 subjectAltName 欄位與安裝時主機名稱相符。可以安裝不同的憑證,以便使用不同的 subjectAltName 或在驗證鏈結中包含特定的憑證授權機構 (CA) 等。請參閱取代 ESXi SSL 憑證和金鑰。
還可以使用 VMware Host Client 取代憑證。請參閱vSphere 單一主機管理 - VMware Host Client。
SSH 金鑰
SSH 金鑰使用 SSH 通訊協定保護與 ESXi 主機的通訊。首次開機時,系統會產生 nistp256 ECDSA 金鑰,並以 2048 位元 RSA 金鑰的形式產生 SSH 金鑰。依預設,SSH 伺服器處於停用狀態。SSH 存取主要用於疑難排解目的。SSH 金鑰不由管理員進行維護。透過 SSH 登入需要相當於完全主機控制的管理權限。若要啟用 SSH 存取,請參閱啟用對 ESXi Shell 的存取。
SSH 公開金鑰位於以下位置:
/etc/ssh/ssh_host_rsa_key.pub
/etc/ssh/ssh_host_ecdsa_key.pub
SSH 私密金鑰位於以下位置:
/etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_ecdsa_key
TLS 密碼編譯金鑰建立
TLS 密碼編譯金鑰建立的組態由所選 TLS 加密套件進行管理,這些加密套件選取以 RSA 為基礎的金鑰傳輸 (如 NIST 特刊 800-56B 中所指定) 或使用暫時 Ecliptic Curve Diffie Hellman (ECDH) 的以 ECC 為基礎的金鑰合約 (如 NIST 特刊 800-56A 中所指定) 之一。
SSH 密碼編譯金鑰建立
SSH 密碼編譯金鑰建立的組態由 SSHD 組態管理。ESXi 提供了一項預設組態,該組態允許以 RSA 為基礎的金鑰傳輸 (如 NIST 特刊 800-56B 中所指定)、暫時 Diffie Hellman (DH) (如 NIST 特刊 800-56A 中所指定) 金鑰合約和暫時 Ecliptic Curve Diffie Hellman (ECHD) (如 NIST 特刊 800-56A 中所指定)。SSHD 組態不由管理員進行維護。