可以使用 TLS 配置实用程序在ESXi主机上启用或禁用 TLS 版本。作为此过程的一部分,您可以禁用 TLS 1.0 并启用 TLS 1.1 和 TLS 1.2。或者,也可以禁用 TLS 1.0 和 TLS 1.1 并仅启用 TLS 1.2。

对于ESXi主机,使用与 vSphere 环境中其他组件不同的实用程序。实用程序是特定于版本的,不能在先前版本上使用。

您可以编写脚本以配置多个主机。

前提条件

确保与 ESXi主机关联的任何产品或服务都可以使用 TLS 1.1 或 TLS 1.2 进行通信。对于仅使用 TLS 1.0 进行通信的产品,将丢失连接。

必须在 vCenter Server Appliance 上启用 Bash shell。

过程

  1. 通过 SSH,使用可以运行脚本的 vCenter Single Sign-On 用户的用户名和密码登录到 vCenter Server Appliance
  2. 要启用 Bash shell,请在命令行处输入 shell
  3. 转到脚本所在的目录。
    cd /usr/lib/vmware-TlsReconfigurator/EsxTlsReconfigurator
  4. 对于属于集群的 ESXi 主机,运行以下命令之一。
    • 要在集群中的所有主机上禁用 TLS 1.0 并启用 TLS 1.1 和 TLS 1.2,请运行以下命令。
      ./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.1 TLSv1.2
    • 要在集群中的所有主机上禁用 TLS 1.0 和 TLS 1.1 并仅启用 TLS 1.2,请运行以下命令。
      ./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.2
  5. 对于不属于集群的单个主机,请运行以下命令之一。
    • 要禁用 TLS 1.0 并为单个主机启用 TLS 1.1 和 TLS 1.2,请运行以下命令。
      ./reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.1 TLSv1.2
    • 要禁用 TLS 1.0 和 TLS 1.1,并仅为单个主机启用 TLS 1.2,请运行以下命令。
      ./reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.2
      注: 要重新配置独立 ESXi 主机,请登录到 vCenter Server 系统,然后运行带有 ESXiHost -h HOST -u ESXi_USER 选项的 reconfigureEsx 命令。对于 HOST 选项,可以指定单个 ESXi 主机的 IP 地址或 FQDN,也可以指定多个主机 IP 地址或 FQDN 的列表。例如,登录到 vCenter Server 并运行以下命令会在两个 ESXi 主机上同时启用 TLS 1.1 和 TLS 1.2:
      ./reconfigureEsx ESXiHost -h 198.51.100.2 198.51.100.3 -u root -p TLSv1.1 TLSv1.2

      或者,要重新配置独立 ESXi 主机,可以登录到该主机,然后修改 UserVars.ESXiVPsDisabledProtocols 高级设置。有关详细信息,请参见《vSphere 单台主机管理 - VMware Host Client》文档中的“配置高级 TLS/SSL 密钥选项”主题。

  6. 重新引导 ESXi主机以完成 TLS 协议更改。