禁用 ESXi 主机上的 TLS 版本

您可以使用 TLS 配置实用程序禁用 ESXi 主机上的 TLS 版本。作为该过程的一部分，可以启用 TLS 1.1 和 TLS 1.2，或仅启用 TLS 1.2。

对于 ESXi 主机，使用与 vSphere 环境中其他组件不同的脚本。

注：除非您指定 -p 选项，否则该脚本将禁用 TLS 1.0 和 TLS 1.1。

要查看当前的 TLS 版本，您可以连接到 ESXi 主机，并运行类似以下内容的 openssl 命令：

openssl s_client -tls1 -connect localhost:443 | head -5
openssl s_client -tls1_1 -connect localhost:443 | head -5
openssl s_client -tls1_2 -connect localhost:443 | head -5

前提条件

确保与 ESXi主机关联的任何产品或服务都可以使用 TLS 1.1 或 TLS 1.2 进行通信。对于仅使用 TLS 1.0 进行通信的产品，将丢失连接。

此过程说明了如何在一个主机上执行任务。您可以编写脚本以配置多个主机。

过程

使用可以运行脚本的 vCenter Single Sign-On 用户的用户名和密码登录到 vCenter Server系统。

转到脚本所在的目录。

操作系统	命令
Windows	cd ..\EsxTlsReconfigurator
Linux	cd ../EsxTlsReconfigurator

在属于集群的主机上，运行以下命令之一。

要在集群中的所有主机上禁用 TLS 1.0 并启用 TLS 1.1 和 TLS 1.2，请运行以下命令。

操作系统	命令
Windows	reconfigureEsx vCenterCluster -c `Cluster_Name` -u `Administrative_User` -p TLSv1.1 TLSv1.2
Linux	./reconfigureEsx vCenterCluster -c `Cluster_Name` -u `Administrative_User` -p TLSv1.1 TLSv1.2

要在集群中的所有主机上禁用 TLS 1.0 和 TLS 1.1 并仅启用 TLS 1.2，请运行以下命令。

操作系统	命令
Windows	reconfigureEsx vCenterCluster -c `Cluster_Name` -u `Administrative_User` -p TLSv1.2
Linux	./reconfigureEsx vCenterCluster -c `Cluster_Name` -u `Administrative_User` -p TLSv1.2

在单个主机上，运行以下命令之一。

要在单个主机上禁用 TLS 1.0 并启用 TLS 1.1 和 TLS 1.2，请运行以下命令。

操作系统	命令
Windows	reconfigureEsx vCenterHost -h <ESXi_Host_Name> -u `Administrative_User` -p TLSv1.1 TLSv1.2
Linux	./reconfigureEsx vCenterHost -h <ESXi_Host_Name> -u `Administrative_User` -p TLSv1.1 TLSv1.2

注：要重新配置 ESXi主机（不属于 vCenter Server 系统的一部分），请使用 ESXiHost -h HOST -u ESXi_USER 选项。对于 HOST 选项，可以指定单个 ESXi 主机的 IP 地址或 FQDN，也可以指定多个主机 IP 地址或 FQDN 的列表。例如，要在两个 ESXi主机上同时启用 TLS 1.1 和 TLS 1.2，请运行以下命令：

reconfigureEsx ESXiHost -h 198.51.100.2 198.51.100.3 -u root -p TLSv1.1 TLSv1.2

要在单个主机上禁用 TLS 1.0 和 TLS 1.1 并仅启用 TLS 1.2，请运行以下命令。

操作系统	命令
Windows	reconfigureEsx vCenterHost -h <ESXi_Host_Name> -u `Administrative_User` -p TLSv1.2
Linux	./reconfigureEsx vCenterHost -h <ESXi_Host_Name> -u `Administrative_User` -p TLSv1.2

重新引导 ESXi主机以完成 TLS 协议更改。