可以使用 TLS 配置实用程序在ESXi主机上启用或禁用 TLS 版本。作为此过程的一部分,您可以禁用 TLS 1.0 并启用 TLS 1.1 和 TLS 1.2。或者,也可以禁用 TLS 1.0 和 TLS 1.1 并仅启用 TLS 1.2。

对于ESXi主机,使用与 vSphere 环境中其他组件不同的实用程序。实用程序是特定于版本的,不能在先前版本上使用。

您可以编写脚本以配置多个主机。

前提条件

确保与 ESXi主机关联的任何产品或服务都可以使用 TLS 1.1 或 TLS 1.2 进行通信。对于仅使用 TLS 1.0 进行通信的产品,将丢失连接。

过程

  1. 使用可以运行脚本的 vCenter Single Sign-On 用户的用户名和密码登录到 vCenter Server系统。
  2. 转到脚本所在的目录。
    操作系统 命令
    Windows 
    cd %VMWARE_CIS_HOME%\TlsReconfigurator\EsxTlsReconfigurator
    Linux 
    cd /usr/lib/vmware-TlsReconfigurator/EsxTlsReconfigurator
  3. 对于属于集群的 ESXi 主机,运行以下命令之一。
    • 要在集群中的所有主机上禁用 TLS 1.0 并启用 TLS 1.1 和 TLS 1.2,请运行以下命令。
      操作系统 命令
      Windows 
      reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.1 TLSv1.2
      Linux 
      ./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.1 TLSv1.2
    • 要在集群中的所有主机上禁用 TLS 1.0 和 TLS 1.1 并仅启用 TLS 1.2,请运行以下命令。
      操作系统 命令
      Windows 
      reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.2
      Linux 
      ./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.2
  4. 对于不属于集群的单个主机,请运行以下命令之一。
    • 要在单个主机上禁用 TLS 1.0 并启用 TLS 1.1 和 TLS 1.2,请运行以下命令。
      操作系统 命令
      Windows 
      reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.1 TLSv1.2
      Linux 
      ./reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.1 TLSv1.2
    • 要在单个主机上禁用 TLS 1.0 和 TLS 1.1 并仅启用 TLS 1.2,请运行以下命令。
      操作系统 命令
      Windows 
      reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.2
      Linux 
      ./reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.2
      注: 要重新配置独立 ESXi 主机,请登录到 vCenter Server 系统,然后运行带有 ESXiHost -h HOST -u ESXi_USER 选项的 reconfigureEsx 命令。对于 HOST 选项,可以指定单个 ESXi 主机的 IP 地址或 FQDN,也可以指定多个主机 IP 地址或 FQDN 的列表。例如,登录到 vCenter Server 并运行以下命令会在两个 ESXi 主机上同时启用 TLS 1.1 和 TLS 1.2: 
      ./reconfigureEsx ESXiHost -h 198.51.100.2 198.51.100.3 -u root -p TLSv1.1 TLSv1.2

      或者,要重新配置独立 ESXi 主机,可以登录到该主机,然后修改 UserVars.ESXiVPsDisabledProtocols 高级设置。有关详细信息,请参见《vSphere 单台主机管理 - VMware Host Client》文档中的“配置高级 TLS/SSL 密钥选项”主题。

  5. 重新引导 ESXi主机以完成 TLS 协议更改。