Wenn Sie das TLS-Konfigurationsprogramm in der vSphere-Umgebung ausführen, können Sie TLS für Ports deaktivieren, die TLS auf vCenter Server- und ESXi-Hosts verwenden. Sie können TLS 1.0 oder sowohl TLS 1.0 als auch TLS 1.1 deaktivieren.
Ab vSphere 7.0 führt vCenter Server zwei Reverse-Proxy-Dienste aus:
- VMware-Reverse-Proxy-Dienst,
rhttpproxy
- Envoy
Bei Envoy handelt es sich um einen Edge- und Dienst-Proxy, der als Open Source bereitgestellt wird. Envoy belegt Port 443 und alle eingehenden vCenter Server-Anfragen werden über Envoy weitergeleitet. In vSphere 7.0 dient rhttpproxy
als Konfigurationsverwaltungsserver für Envoy. Folglich wird die TLS-Konfiguration auf rhttpproxy
angewendet, wodurch die Konfiguration an Envoy gesendet wird.
vCenter Server und ESXi verwenden Ports, die für TLS-Protokolle aktiviert oder deaktiviert werden können. Die scan
-Option des Dienstprogramms zur TLS-Konfiguration zeigt an, welche Versionen von TLS für jeden Dienst aktiviert sind. Weitere Informationen finden Sie unter Suchen nach aktivierten TLS-Protokollen in vCenter Server.
Eine Liste aller unterstützten Ports und Protokolle in VMware, einschließlich vSphere und vSAN, finden Sie im Tool VMware Ports and Protocols™ unter https://ports.vmware.com/. Sie können Ports nach VMware-Produkt durchsuchen, eine benutzerdefinierte Portliste erstellen und Portlisten drucken oder speichern.
Hinweise und Vorsichtsmaßnahmen
- vSphere 6.7 ist die letzte Version von vCenter Server für Windows. In der vSphere-Sicherheit-Dokumentation für Version 6.7 des Produkts finden Sie Informationen zum Neukonfigurieren von TLS für Update Manager-Ports auf vCenter Server für Windows.
- Sie können TLS 1.2 verwenden, um die Verbindung zwischen vCenter Server und einem externen Microsoft SQL Server zu verschlüsseln. Eine reine TLS 1.2-Verbindung zu einer externen Oracle-Datenbank kann nicht verwendet werden. Informationen finden Sie in dem VMware-Knowledgebase-Artikel unter https://kb.vmware.com/kb/2149745.
- Deaktivieren Sie TLS 1.0 für vSphere 6.7 und frühere Versionen nicht für eine vCenter Server- oder Platform Services Controller-Instanz, die unter Windows Server 2008 ausgeführt wird. Windows 2008 unterstützt nur TLS 1.0. Weitere Informationen hierzu finden Sie im Microsoft TechNet-Artikel TLS/SSL-Einstellungen im Leitfaden zu Serverrollen und Technologien.
- Bei einer Änderung der TLS-Protokolle müssen Sie den ESXi-Host neu starten, um die Änderungen zu übernehmen. Sie müssen den Host auch dann neu starten, wenn Sie die Änderungen über die Clusterkonfiguration anwenden, indem Sie Hostprofile verwenden. Sie können den Host sofort neu starten oder den Neustart auf einen besser geeigneten Zeitpunkt verschieben.