Mit dem TLS-Konfigurationsprogramm können Sie TLS-Versionen auf einem ESXi-Host aktivieren oder deaktivieren. Sie können im Rahmen dieses Prozesses TLS 1.0 deaktivieren und TLS 1.1 und TLS 1.2 aktivieren. Oder Sie können TLS 1.0 und TLS 1.1 deaktivieren und nur TLS 1.2 aktivieren.

Für ESXi-Hosts verwenden Sie ein anderes Dienstprogramm als für die anderen Komponenten Ihrer vSphere-Umgebung. Das Dienstprogramm ist versionsspezifisch und kann für eine vorherige Version nicht verwendet werden.

Sie können ein Skript zum Konfigurieren von mehreren Hosts schreiben.

Voraussetzungen

Stellen Sie sicher, dass alle Produkte oder Dienste im Zusammenhang mit dem ESXi-Host mithilfe von TLS 1.1 oder TLS 1.2 kommunizieren können. Für Produkte, die nur mithilfe von TLS 1.0 kommunizieren, wird die Verbindung getrennt.

Die Bash-Shell muss in der vCenter Server Appliance aktiviert werden.

Prozedur

  1. Melden Sie sich über SSH mit dem Benutzernamen und dem Kennwort des vCenter Single Sign-On-Benutzers, der Skripts ausführen darf, bei vCenter Server Appliance an.
  2. Um die Bash-Shell zu aktivieren, geben Sie in der Befehlszeile shell ein.
  3. Navigieren Sie zu dem Verzeichnis, in dem sich das Skript befindet.
    cd /usr/lib/vmware-TlsReconfigurator/EsxTlsReconfigurator
  4. Führen Sie für einen ESXi-Host, der Teil eines Clusters ist, einen der folgenden Befehle aus.
    • Um TLS 1.0 zu deaktivieren und sowohl TLS 1.1 also auch TLS 1.2 auf allen Hosts in einem Cluster zu aktivieren, führen Sie den folgenden Befehl aus.
      ./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.1 TLSv1.2
    • Um TLS 1.0 und TLS 1.1 zu deaktivieren und nur TLS 1.2 auf allen Hosts in einem Cluster zu aktivieren, führen Sie den folgenden Befehl aus.
      ./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.2
  5. Führen Sie für einen einzelnen Host, der nicht Teil eines Clusters ist, einen der folgenden Befehle aus.
    • Um TLS 1.0 zu deaktivieren und sowohl TLS 1.1 also auch TLS 1.2 für einen einzelnen Host zu aktivieren, führen Sie den folgenden Befehl aus.
      ./reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.1 TLSv1.2
    • Um TLS 1.0 und TLS 1.1 zu deaktivieren und nur TLS 1.2 für einen einzelnen Host zu aktivieren, führen Sie den folgenden Befehl aus.
      ./reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.2
      Hinweis: Um einen eigenständigen ESXi-Host neu zu konfigurieren, melden Sie sich bei einem vCenter Server-System an und führen Sie den Befehl reconfigureEsx mit den Optionen ESXiHost -h HOST -u ESXi_USER aus. Für die Option HOST können Sie die IP-Adresse oder den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) eines einzelnen ESXi-Hosts oder eine Liste von Host-IP-Adressen oder FQDNs angeben. Wenn Sie sich beispielsweise bei einem vCenter Server anmelden und den folgenden Befehl ausführen, werden sowohl TLS 1.1 als auch TLS 1.2 auf zwei ESXi-Hosts aktiviert:
      ./reconfigureEsx ESXiHost -h 198.51.100.2 198.51.100.3 -u root -p TLSv1.1 TLSv1.2

      Alternativ können Sie sich zum Neukonfigurieren eines eigenständigen ESXi-Hosts beim Host anmelden und die erweiterte Einstellung UserVars.ESXiVPsDisabledProtocols ändern. Weitere Informationen finden Sie im Thema „Konfigurieren erweiterter TLS/SSL-Schlüsseloptionen“ in der Dokumentation zu Verwaltung eines einzelnen Hosts von vSphere – VMware Host Client.

  6. Starten Sie den ESXi-Host neu, um die TLS-Protokolländerungen abzuschließen.