In vSphere ist standardmäßig nur TLS aktiviert. TLS 1.0 und TLS 1.1 sind standardmäßig deaktiviert. In vSphere ist TLS 1.0 und TLS 1.1 immer deaktiviert. Dabei spielt es keine Rolle, ob Sie eine Neuinstallation, ein Upgrade oder eine Migration durchführen. Sie können ältere Versionen des Protokolls vorübergehend mit dem TLS-Konfigurationsprogramm auf vCenter Server-Systemen aktivieren. Sie können dann die älteren, weniger sicheren Versionen deaktivieren, sobald für alle Verbindungen TLS 1.2 verwendet wird.

Ab ESXi 8.0 wird nur TLS 1.2 unterstützt. ESXi 8.0 unterstützt TLS 1.0 und 1.1 nicht mehr, und Sie können diese älteren Protokollversionen nicht aktivieren. Die Ausführung des TLS-Konfigurationsprogramms auf ESXi 8.0 schlägt im Hintergrund fehl, ohne dass ein Fehler gemeldet wird.

Bevor Sie eine Neukonfiguration älterer Protokollversionen auf vCenter Server durchführen, sollten Sie Ihre Umgebung berücksichtigen. Je nach den Anforderungen an Ihre Umgebung und Ihren Softwareversionen müssen Sie unter Umständen zusätzlich zu TLS 1.2 TLS 1.0 und TLS 1.1 erneut aktivieren, um die Interoperabilität zu erhalten. Weitere Informationen zu VMware-Produkten, die TLS 1.2 unterstützen, finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/2145796. Fragen zur Integration von Drittanbieterprodukten werden in der Dokumentation Ihres Anbieters beantwortet. Das TLS-Konfigurationsprogramm funktioniert mit vSphere 8.0 und früheren Versionen, einschließlich 7.0, 6.7, 6.5 und 6.0.

vCenter Server verwendet Ports, die für TLS-Protokolle aktiviert oder deaktiviert werden können. Die scan-Option des TLS-Konfigurationsprogramms zeigt an, welche Versionen von TLS für jeden Dienst aktiviert sind. Weitere Informationen finden Sie unter Suchen nach TLS-Protokollen in vCenter Server.

Eine Liste aller unterstützten Ports und Protokolle in VMware, einschließlich vSphere und vSAN, finden Sie im Tool VMware Ports and Protocols™ unter https://ports.vmware.com/. Sie können Ports nach VMware-Produkt durchsuchen, eine benutzerdefinierte Portliste erstellen und Portlisten drucken oder speichern.

vCenter Server und Envoy

In vSphere 7.0 und höher führt vCenter Server zwei Reverse-Proxy-Dienste aus:

  • VMware-Reverse-Proxy-Dienst, rhttpproxy
  • Envoy

Bei Envoy handelt es sich um einen Edge- und Dienst-Proxy, der als Open Source bereitgestellt wird. Envoy belegt Port 443 und alle eingehenden vCenter Server-Anfragen werden über Envoy weitergeleitet. In vSphere 7.0 und höher dient rhttpproxy als Konfigurationsverwaltungsserver für Envoy. Folglich wird die TLS-Konfiguration auf rhttpproxy angewendet, wodurch die Konfiguration an Envoy gesendet wird.

Hinweise und Warnungen zu vSphere und TLS

  • vSphere 6.7 ist die letzte Version von vCenter Server für Windows. In der vSphere-Sicherheit-Dokumentation für Version 6.7 des Produkts finden Sie Informationen zum Neukonfigurieren von TLS für Update Manager-Ports auf vCenter Server für Windows.
  • Sie können TLS 1.2 verwenden, um die Verbindung zwischen vCenter Server und einem externen Microsoft SQL Server zu verschlüsseln. Eine reine TLS 1.2-Verbindung zu einer externen Oracle-Datenbank kann nicht verwendet werden. Informationen finden Sie in dem VMware-Knowledgebase-Artikel unter https://kb.vmware.com/kb/2149745.
  • Deaktivieren Sie TLS 1.0 für vSphere 6.7 und frühere Versionen nicht für eine vCenter Server- oder Platform Services Controller-Instanz, die unter Windows Server 2008 ausgeführt wird. Windows 2008 unterstützt nur TLS 1.0. Weitere Informationen hierzu finden Sie im Microsoft TechNet-Artikel TLS/SSL-Einstellungen im Leitfaden zu Serverrollen und Technologien.

Durchführen einer optionalen manuellen vCenter Server-TLS-Sicherung

Das TLS-Konfigurationsdienstprogramm führt bei jeder Änderung von vCenter Server durch das Skript eine Sicherung der TLS-Konfiguration aus. Wenn Sie eine Sicherung in einem bestimmten Verzeichnis speichern müssen, können Sie eine manuelle Sicherung durchführen.

Für vCenter Server lautet das Standardverzeichnis folgendermaßen: /tmp/yearmonthdayTtime.

Prozedur

  1. Stellen Sie mithilfe von SSH eine Verbindung zum vCenter Server her.
  2. Wechseln Sie zum Verzeichnis /usr/lib/vmware-TlsReconfigurator/VcTlsReconfigurator.
  3. Zum Erstellen einer Sicherung in einem bestimmten Verzeichnis führen Sie folgenden Befehl aus.
    directory_path/VcTlsReconfigurator> ./reconfigureVc backup -d backup_directory_path
  4. Stellen Sie sicher, dass die Sicherung erfolgreich war.
    Eine erfolgreiche Sicherung ist dem folgenden Beispiel ähnlich. Die Reihenfolge der angezeigten Dienste ist möglicherweise bei jeder Ausführung des Befehls reconfigureVc backup unterschiedlich. Dies liegt an der Art und Weise, auf die der Befehl ausgeführt wird.
    vCenter Transport Layer Security reconfigurator, version=8.0.0, build=10068142
    For more information refer to the following article: https://kb.vmware.com/kb/2147469
    Log file: "/var/log/vmware/vSphere-TlsReconfigurator/VcTlsReconfigurator.log".
    ================= Backing up vCenter Server TLS configuration ==================
    Using backup directory: /tmp/20220714T225653
    Backing up: vmcam
    Backing up: vmdird
    Backing up: vmware-rhttpproxy
    Backing up: vmware-stsd
    Backing up: vami-lighttp
    Backing up: vmware-rbd-watchdog
    Backing up: rsyslog
    Backing up: vmware-updatemgr
    Backing up: vmware-sps
    Backing up: vmware-vpxd
  5. (Optional) Wenn Sie später eine Wiederherstellung durchgeführt haben, können Sie den folgenden Befehl ausführen.
    reconfigureVc restore -d optional_custom_backup_directory_path

Aktivieren oder Deaktivieren von TLS-Versionen auf vCenter Server-Systemen

Mit dem TLS-Konfigurationsprogramm können Sie TLS-Versionen auf vCenter Server-Systemen aktivieren oder deaktivieren. Sie können im Rahmen dieses Prozesses TLS 1.0 deaktivieren und TLS 1.1 und TLS 1.2 aktivieren. Oder Sie können TLS 1.0 und TLS 1.1 deaktivieren und nur TLS 1.2 aktivieren.

Voraussetzungen

Stellen Sie sicher, dass die von vCenter Server verwalteten Hosts und Dienste mithilfe einer TLS-Version, die aktiviert bleibt, kommunizieren können. Für Produkte, die nur mithilfe von TLS 1.0 kommunizieren, wird die Verbindung getrennt.

Prozedur

  1. Melden Sie sich beim vCenter Server-System mit dem Benutzernamen und dem Kennwort für „administrator@vsphere.local“ oder als anderes Mitglied der Administratorengruppe von vCenter Single Sign-On an, das Skripts ausführen darf.
  2. Navigieren Sie zu dem Verzeichnis, in dem sich das Skript befindet.
    cd /usr/lib/vmware-TlsReconfigurator/VcTlsReconfigurator
  3. Führen Sie den Befehl je nach gewünschter TLS-Version aus.
    • Um TLS 1.0 zu deaktivieren und sowohl TLS 1.1 also auch TLS 1.2 zu aktivieren, führen Sie den folgenden Befehl aus.
      directory_path/VcTlsReconfigurator> ./reconfigureVc update -p TLSv1.1 TLSv1.2
    • Um TLS 1.0 und TLS 1.1 zu deaktivieren und nur TLS 1.2 zu aktivieren, führen Sie den folgenden Befehl aus.
      directory_path/VcTlsReconfigurator> ./reconfigureVc update -p TLSv1.2
  4. Wenn in Ihrer Umgebung andere vCenter Server-Systeme vorhanden sind, wiederholen Sie den Vorgang auf jedem vCenter Server-System.

Suchen nach TLS-Protokollen in vCenter Server

Nachdem Sie TLS-Versionen auf vCenter Server aktiviert oder deaktiviert haben, können Sie das TLS-Konfigurationsprogramm verwenden, um Ihre Änderungen anzuzeigen.

Die scan-Option des TLS-Konfigurationsprogramms zeigt an, welche Versionen von TLS für jeden Dienst aktiviert sind.

Prozedur

  1. Melden Sie sich beim vCenter Server-System an.
    1. Stellen Sie mithilfe von SSH eine Verbindung mit der Appliance her und melden Sie sich als Benutzer mit Berechtigungen zum Ausführen von Skripts an.
    2. Wenn die Bash-Shell derzeit nicht aktiviert ist, führen Sie die folgenden Befehle aus.
      shell.set --enabled true
      shell
  2. Wechseln Sie zum Verzeichnis VcTlsReconfigurator.
    cd /usr/lib/vmware-TlsReconfigurator/VcTlsReconfigurator
  3. Um anzuzeigen, für welche Dienste TLS aktiviert ist und welche Ports verwendet werden, führen Sie den folgenden Befehl aus.
    reconfigureVc scan

Zurücksetzen von vCenter Server-TLS-Konfigurationsänderungen

Mit dem TLS-Konfigurationsprogramm können Sie Konfigurationsänderungen zurücksetzen. Wenn Sie die Änderungen zurücksetzen, werden Protokolle aktiviert, die Sie mit dem TLS-Konfigurationsprogramm deaktiviert haben.

Voraussetzungen

Verwenden Sie vor dem Zurücksetzen von Änderungen die vCenter Server-Verwaltungsschnittstelle, um eine Sicherung des vCenter Server durchzuführen.

Prozedur

  1. Stellen Sie eine Verbindung zum vCenter Server her, auf dem Sie als Benutzer mit der Berechtigung zum Ausführen von Skripts Änderungen rückgängig machen möchten.
  2. Wenn die Bash-Shell derzeit nicht aktiviert ist, führen Sie die folgenden Befehle aus.
    shell.set --enabled true
    shell
  3. Wechseln Sie zum Verzeichnis VcTlsReconfigurator.
    cd /usr/lib/vmware-TlsReconfigurator/VcTlsReconfigurator
  4. Prüfen Sie die vorherige Sicherung.
    grep "backup directory" /var/log/vmware/vSphere-TlsReconfigurator/VcTlsReconfigurator.log
    
    Die Ausgabe ähnelt derjenigen im folgenden Beispiel.
    2022-07-14T22:56:53.706Z INFO Using backup directory: /tmp/20220714T225653
    2022-07-14T22:58:08.594Z INFO Using backup directory: /tmp/20220714T225808
    
  5. Führen Sie den folgenden Befehl aus, um eine Wiederherstellung vorzunehmen.
    reconfigureVc restore -d Directory_path_from_previous_step
    
    Die TLS-Konfiguration wird wiederhergestellt. Im Rahmen des Vorgangs wird vCenter Server neu gestartet.
  6. Wiederholen Sie diesen Vorgang für alle anderen vCenter Server-Instanzen.