在 ESXi主机上启用或禁用 TLS 版本

可以使用 TLS 配置实用程序在ESXi主机上启用或禁用 TLS 版本。作为此过程的一部分，您可以禁用 TLS 1.0 并启用 TLS 1.1 和 TLS 1.2。或者，也可以禁用 TLS 1.0 和 TLS 1.1 并仅启用 TLS 1.2。

对于ESXi主机，使用与 vSphere 环境中其他组件不同的实用程序。实用程序是特定于版本的，不能在先前版本上使用。

您可以编写脚本以配置多个主机。

前提条件

确保与 ESXi主机关联的任何产品或服务都可以使用 TLS 1.1 或 TLS 1.2 进行通信。对于仅使用 TLS 1.0 进行通信的产品，将丢失连接。

必须在 vCenter Server Appliance 上启用 Bash shell。

过程

通过 SSH，使用可以运行脚本的 vCenter Single Sign-On 用户的用户名和密码登录到 vCenter Server Appliance。
要启用 Bash shell，请在命令行处输入 shell。

转到脚本所在的目录。

cd /usr/lib/vmware-TlsReconfigurator/EsxTlsReconfigurator

对于属于集群的 ESXi 主机，运行以下命令之一。
- 要在集群中的所有主机上禁用 TLS 1.0 并启用 TLS 1.1 和 TLS 1.2，请运行以下命令。
```
./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.1 TLSv1.2
```
- 要在集群中的所有主机上禁用 TLS 1.0 和 TLS 1.1 并仅启用 TLS 1.2，请运行以下命令。
```
./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.2
```
对于不属于集群的单个主机，请运行以下命令之一。
- 要禁用 TLS 1.0 并为单个主机启用 TLS 1.1 和 TLS 1.2，请运行以下命令。
```
./reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.1 TLSv1.2
```
- 要禁用 TLS 1.0 和 TLS 1.1，并仅为单个主机启用 TLS 1.2，请运行以下命令。
```
./reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.2
```
  注：要重新配置独立 ESXi 主机，请登录到 vCenter Server 系统，然后运行带有 ESXiHost -h HOST -u ESXi_USER 选项的 reconfigureEsx 命令。对于 HOST 选项，可以指定单个 ESXi 主机的 IP 地址或 FQDN，也可以指定多个主机 IP 地址或 FQDN 的列表。例如，登录到 vCenter Server 并运行以下命令会在两个 ESXi 主机上同时启用 TLS 1.1 和 TLS 1.2：
```
./reconfigureEsx ESXiHost -h 198.51.100.2 198.51.100.3 -u root -p TLSv1.1 TLSv1.2
```
  或者，要重新配置独立 ESXi 主机，可以登录到该主机，然后修改 UserVars.ESXiVPsDisabledProtocols 高级设置。有关详细信息，请参见《vSphere 单台主机管理 - VMware Host Client》文档中的“配置高级 TLS/SSL 密钥选项”主题。
重新引导 ESXi主机以完成 TLS 协议更改。