Wenn Sie das TLS-Konfigurationsprogramm in der vSphere-Umgebung ausführen, können Sie TLS für Ports deaktivieren, die TLS auf vCenter Server, Platform Services Controller und ESXi-Hosts verwenden. Sie können TLS 1.0 oder sowohl TLS 1.0 als auch TLS 1.1 deaktivieren.

In der folgenden Tabelle sind die Ports aufgelistet. Wenn ein Port nicht enthalten ist, hat das Dienstprogramm keine Auswirkungen auf diesen Port.

Tabelle 1. Vom TLS-Konfigurationsprogramm betroffene vCenter Server und Platform Services Controller

Dienst

Name unter Windows

Name unter Linux

Port

VMware HTTP Reverse Proxy

rhttpproxy

vmware-rhttpproxy

443

VMware Directory Service

VMWareDirectoryService

vmdird

636

VMware Syslog Collector (*)

vmwaresyslogcollector (*)

rsyslogd

1514

vSphere Auto Deploy Waiter

vmware-autodeploy-waiter

vmware-rbd-watchdog

6501

6502

VMware Secure Token Service

VMwareSTS

vmware-stsd

7444

vSphere Update Manager-Dienst (**)

vmware-ufad-vci (**)

vmware-updatemgr

8084

9087

vSphere Web Client

vspherewebclientsvc

vsphere-client

9443

VMware Directory Service

VMWareDirectoryService

vmdird

11712

(*) TLS wird durch die Liste der Schlüssel für diese Dienste gesteuert. Eine detaillierte Verwaltung ist nicht möglich. Nur TLS 1.2 oder alle TLS 1.x-Versionen werden unterstützt.

(*) In der vCenter Server Appliance befindet sich vSphere Update Manager im selben System wie vCenter Server. In vCenter Server unter Windows konfigurieren Sie TLS durch Bearbeiten von Konfigurationsdateien. Weitere Informationen hierzu finden Sie unter Deaktivieren von TLS-Versionen in vSphere Update Manager.

Tabelle 2. Vom TLS-Konfigurationsprogramm betroffene ESXi-Ports

Dienst

Dienstname

Port

VMware HTTP Reverse Proxy und Hostdaemon

Hostd

443

VMware vSAN-VASA-Anbieter-Provider

vSANVP

8080

VMware-Fehlerdomänen-Manager

FDM

8182

VMware vSphere API für E/A-Filter

ioFilterVPServer

9080

VMware-Autorisierungsdaemon

vmware-authd

902

Hinweise und Vorsichtsmaßnahmen

  • Stellen Sie sicher, dass die Legacy-ESXi-Hosts, die von vCenter Server verwaltet werden, eine aktivierte TLS-Version unterstützen, und zwar entweder TLS 1.1 und TLS 1.2 oder nur TLS 1.2. Durch Deaktivieren einer TLS-Version in vCenter Server 6.5 kann vCenter Server Legacy-ESXi-Hosts der Version 5.x und 6.0 nicht mehr verwalten. Führen Sie ein Upgrade dieser Hosts auf Versionen durch, die TLS 1.1 oder TLS 1.2 unterstützen.

  • Eine reine TLS 1.2-Verbindung kann nicht mit einem externen Microsoft SQL Server oder einer externen Oracle-Datenbank verwendet werden.

  • Deaktivieren Sie TLS 1.0 nicht für eine vCenter Server- oder Platform Services Controller-Instanz, die unter Windows Server 2008 ausgeführt wird. Windows 2008 unterstützt nur TLS 1.0. Weitere Informationen hierzu finden Sie im Microsoft TechNet-Artikel TLS/SSL-Einstellungen im Leitfaden zu Serverrollen und Technologien.

  • In folgenden Situationen müssen Sie Hostdienste neu starten, nachdem TLS-Konfigurationsänderungen vorgenommen wurden.

    • Wenn Sie die Änderungen direkt auf den ESXi-Host anwenden.

    • Wenn Sie die Änderungen über die Clusterkonfiguration mithilfe von Hostprofilen anwenden.