在 vSphere 环境中运行 TLS Configurator 实用程序时,可以对 vCenter ServerPlatform Services ControllerESXi 主机上使用 TLS 的不同端口禁用 TLS。可以禁用 TLS 1.0,或同时禁用 TLS 1.0 和 TLS 1.1。

下表列出了这些端口。如果未包含某端口,则该实用程序不会影响到它。

表 1. 受 TLS Configurator 实用程序影响的 vCenter ServerPlatform Services Controller

服务

在 Windows 上的名称

在 Linux 上的名称

端口

VMware HTTP Reverse Proxy

rhttpproxy

vmware-rhttpproxy

443

VMware Directory Service

VMWareDirectoryService

vmdird

636

VMware Syslog Collector (*)

vmwaresyslogcollector (*)

rsyslogd

1514

vSphere Auto Deploy Waiter

vmware-autodeploy-waiter

vmware-rbd-watchdog

6501

6502

VMware 安全令牌服务

VMwareSTS

vmware-stsd

7444

vSphere Update Manager 服务 (**)

vmware-ufad-vci (**)

vmware-updatemgr

8084

9087

vSphere Web Client

vspherewebclientsvc

vsphere-client

9443

VMware Directory Service

VMWareDirectoryService

vmdird

11712

(*)TLS 由这些服务的加密列表控制。无法进行细化管理。仅支持 TLS 1.2 或所有 TLS 1.x 版本。

(**) 在 vCenter Server Appliance 上,vSphere Update Manager 与 vCenter Server 位于同一系统上。在 Windows 中的 vCenter Server 上,可以通过编辑配置文件配置 TLS。请参见在 vSphere Update Manager 上禁用 TLS 版本

表 2. 受 TLS Configurator 实用程序影响的 ESXi 端口

服务

服务名称

端口

VMware HTTP Reverse Proxy 和主机守护进程

Hostd

443

VMware VSAN VASA 供应商提供程序

vSANVP

8080

VMware 故障域管理器

FDM

8182

适用于 IO 筛选器的 VMware vSphere API

ioFilterVPServer

9080

VMware 授权守护进程

vmware-authd

902

注意事项和说明

  • 确保由 vCenter Server 管理的旧版 ESXi 主机支持启用的 TLS 版本(TLS 1.1 和 TLS 1.2 或者仅 TLS 1.2)。禁用 vCenter Server 6.5 上的 TLS 版本时,vCenter Server 无法再管理旧版 ESXi 主机 5.x 和主机 6.0。请将这些主机升级到支持 TLS 1.1 或 TLS 1.2 的版本。

  • 无法仅使用 TLS 1.2 连接到外部 Microsoft SQL Server 或外部 Oracle 数据库。

  • 请勿对 Windows Server 2008 上运行的 vCenter ServerPlatform Services Controller 实例禁用 TLS 1.0。Windows 2008 仅支持 TLS 1.0。请参见 Microsoft TechNet 文章《服务器角色和技术指南》中的 TLS/SSL 设置

  • 在以下情况下,在应用 TLS 配置更改后必须重新启动主机服务。

    • 如果直接对 ESXi 主机应用更改。

    • 如果使用主机配置文件来通过群集配置应用更改。