vSphere-TLS-Konfiguration

Ab 8.0 Update 3 unterstützt vSphere TLS 1.3 und 1.2 über die Verwendung von TLS-Profilen. TLS-Profile vereinfachen die Verwaltung von TLS-Parametern und verbessern außerdem die Unterstützbarkeit.

vSphere 8.0 Update 3 aktiviert das TLS-Standardprofil COMPATIBLE auf ESXi- und vCenter Server-Hosts. Das COMPATIBLE-Profil unterstützt TLS 1.3- und einige TLS 1.2-Verbindungen.

Sie können TLS-Profile auf ESXi-Hosts entweder mithilfe von vSphere Configuration Profiles- oder esxcli-Befehlen verwalten. Auf vCenter Server-Hosts können Sie TLS-Profile mithilfe von APIs verwalten. Beispielsweise können Sie Developer Center im vSphere Client verwenden. Weitere Informationen finden Sie im Programmierhandbuch zu den vSphere Automation SDKs und im Programmierhandbuch zur vSphere Automation REST API.

vCenter Server und Envoy

vCenter Server führt zwei Reverse-Proxy-Dienste aus:

VMware-Reverse-Proxy-Dienst, rhttpproxy
Envoy

Bei Envoy handelt es sich um einen Edge- und Dienst-Proxy, der als Open Source bereitgestellt wird. Envoy belegt Port 443 und alle eingehenden vCenter Server-Anfragen werden über Envoy weitergeleitet. rhttpproxy dient als Konfigurationsverwaltungsserver für Envoy. Folglich wird die TLS-Konfiguration auf rhttpproxy angewendet, wodurch die Konfiguration an Envoy gesendet wird.

Implementieren von TLS mithilfe von TLS-Profilen durch vSphere

vSphere 8.0 Update 3 implementiert TLS 1.3 durch Gruppierung von Parametern, einschließlich Protokollversionen, Gruppen (auch Curves genannt) und Verschlüsselungen, in ein einzelnes TLS-Profil. Dieses TLS-Profil wird systemweit angewendet. Die Verwendung eines einzelnen TLS-Profils erleichtert den verwaltungstechnischen Aufwand Ihrer Hosts. Sie müssen einzelne TLS-Parameter nicht mehr manuell konfigurieren, obwohl diese Funktion bei Bedarf weiterhin verfügbar ist. TLS-Profile verbessern auch die Unterstützbarkeit erheblich. Die Gruppierung von Parametern in TLS-Profile vereinfacht den Satz an VMware-geprüften TLS-Lösungen, aus denen ausgewählt werden kann. In ESXi werden TLS-Profile in vSphere Configuration Profiles integriert.

Die folgenden TLS-Profile werden in ESXi bereitgestellt:

COMPATIBLE: Das Standardprofil. Die genaue Zuordnung der Parameter in diesem Profil kann von Version zu Version geändert werden. Das Profil ist jedoch garantiert mit allen unterstützten Produkten und Versionen kompatibel (derzeit N-2-Versionen). Demnach kann ein ESXi-Host aus Version N, der das COMPATIBLE-Profil verwendet, mit einem Host von Version N-2 kommunizieren.
NIST_2024: Ein restriktiveres Profil, das speziell den NIST 2024-Standard unterstützt. Die genaue Zuordnung der Parameter in diesem Profil wird garantiert, um den NIST 2024-Standard über alle Versionen hinweg zu erfüllen. Dieses Profil ist garantiert nur mit aktuellen oder neueren Versionen und nicht mit älteren Versionen kompatibel.
MANUAL: Verwenden Sie dieses Profil, um eine Ad-hoc-Konfiguration zu erstellen und zu testen, in der Sie die TLS-Parameter manuell angeben. Es wird nicht garantiert, dass ein MANUAL-Profil fehlerfrei funktioniert. Sie müssen ein MANUAL-Profil testen, auch über Software-Upgrades hinweg. Wenn Sie ein MANUAL-Profil verwenden, wird das Systemverhalten standardmäßig zunächst auf das zuvor ausgewählte Profil (COMPATIBLE oder NIST_2024) festgelegt und bleibt so lange bestehen, bis Sie Änderungen vornehmen. Sie müssen esxcli-Befehle verwenden, um das TLS-Profil MANUAL zu verwalten. Weitere Informationen zum Ändern der Parameter im TLS-Profil MANUAL finden Sie im Hilfetext, der in esxcli enthalten ist.

Wenn Sie das TLS-Profil auf den gewünschten Zustand festlegen, müssen Sie den ESXi-Host neu starten oder den vLCM-Cluster standardisieren, in dem sich der ESXi-Host befindet, um Änderungen zu übernehmen.

Die folgenden Tabellen zeigen die Details der TLS-Profile für ESXi und vCenter Server in vSphere 8.0 Update 3. In der Spalte mit der Verschlüsselungsliste werden die TLS-Verschlüsselungen für TLS 1.2- und frühere Protokolle angezeigt. In der Spalte mit den Verschlüsselungs-Suites werden die Verschlüsselungen für das TLS 1.3-Protokoll angezeigt.

Tabelle 1. ESXi TLS 1.3-Profile
TLS-Profilname	TLS-Protokollversionen	Verschlüsselungsliste	Verschlüsselungssammlungen	Curves	Von VMware unterstützt?
COMPATIBLE	TLS 1.3 und TLS 1.2	ECDHE+AESGCM:ECDHE+AES	TLS_AES_256_GCM_SHA384; TLS_AES_128_GCM_SHA256	prime256v1:secp384r1:secp521r1	Ja
NIST_2024	TLS 1.3 und TLS 1.2	ECDHE+AESGCM	TLS_AES_256_GCM_SHA384; TLS_AES_128_GCM_SHA256	prime256v1:secp384r1:secp521r1	Ja
MANUAL	Alle	Alle	Alle	Alle	Nein

Hinweise:

Unterstützte Einstellungen (Protokolle, Verschlüsselungsliste, Verschlüsselungs-Suites und Curves) stellen höchstens das dar, was unterstützt wird.
Das NIST_2024-Profil gilt nur für eingehende Verbindungen.
Das kryptografische Modul „BoringSSL“, das in vSphere 8.0 Update 3 verwendet wird, hat die FIPS-Zertifizierung für die Verwendung von TLS 1.3 noch nicht erreicht. Dies führt dazu, dass Port 443 (Reverse-Proxy) in ESXi und vCenter Server mithilfe von TLS 1.2 kommuniziert. Von den TLS-Profilen COMPATIBLE und NIST_2024 wird TLS 1.3 ohne FIPS nicht verwendet.

Die folgenden vCenter Server TLS 1.3-Profile werden bereitgestellt:

COMPATIBLE: Das Standardprofil. Die genaue Zuordnung der Parameter in diesem Profil kann von Version zu Version geändert werden. Das Profil ist jedoch garantiert mit allen unterstützten Produkten und Versionen kompatibel (derzeit N-2-Versionen).
NIST_2024: Ein restriktiveres Profil, das speziell den NIST 2024-Standard unterstützt. Die genaue Zuordnung der Parameter in diesem Profil wird garantiert, um den NIST 2024-Standard über alle Versionen hinweg zu erfüllen. Dieses Profil ist garantiert nur mit aktuellen oder neueren Versionen und nicht mit älteren Versionen kompatibel.
COMPATIBLE-NON-FIPS: Ein geändertes Profil, das eine TLS 1.3-Verbindung ohne FIPS über den Envoy-Proxy zulässt. FIPS ist nicht aktiviert.

Tabelle 2. vCenter Server TLS 1.3-Profile
TLS-Profilname	TLS-Protokollversionen	Verschlüsselungssammlungen	Curves	FIPS aktiviert?	Von VMware unterstützt?
COMPATIBLE	TLS 1.3	TLS_AES_256_GCM_SHA384; TLS_AES_128_GCM_SHA256	prime256v1:secp384r1:secp521r1	Ja	Ja
COMPATIBLE	TLS 1.2	ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-GCM-SHA256 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES128-SHA AES256-SHA AES128-SHA	prime256v1:secp384r1:secp521r1	Ja	Ja
NIST_2024	TLS 1.3	TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256	prime256v1:secp384r1:secp521r1	Ja	Ja
NIST_2024	TLS 1.2	ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256	prime256v1:secp384r1:secp521r1	Ja	Ja
COMPATIBLE-NON-FIPS	TLS 1.3	TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256	prime256v1:secp384r1:secp521r1	Nein	Ja
COMPATIBLE-NON-FIPS	TLS 1.2	ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-GCM-SHA256 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES128-SHA AES256-SHA AES128-SHA	prime256v1:secp384r1:secp521r1	Nein	Ja

TLS und eingehende sowie ausgehende Verbindungen in ESXi und vCenter Server

ESXi 8.0 Update 3 unterstützt TLS 1.3 sowohl für eingehende (Server) als auch für ausgehende Verbindungen (Client). Die eingehenden ESXi-Verbindungen (Server) sind von größter Bedeutung, und es gilt das restriktivere NIST_2024 Profil.

Für ESXi können Sie die Einstellungen COMPATIBLE, NIST_2024 und MANUAL für eingehende Verbindungen (Server) verwenden. Sie können die Einstellungen COMPATIBLE und MANUAL für ausgehende Verbindungen (Client) verwenden.

vCenter Server TLS-Profile übernehmen ihre Einstellungen sowohl für eingehende als auch für ausgehende Verbindungen.

Einige vSphere-Dienste machen Ports verfügbar, die TLS-Verbindungen akzeptieren, während die meisten Dienste den Reverse-Proxy verwenden. Alle eingehenden Verbindungen akzeptieren standardmäßig TLS 1.2 und TLS 1.3. Derzeit ist TLS 1.3 für Port 443 (Reverse-Proxy) deaktiviert, und die Kommunikation erfolgt über TLS 1.2. Ausgehende Verbindungen unterstützen TLS 1.2 und TLS 1.3. Weitere Informationen finden Sie unter TLS 1.3 auf Port 443 in ESXi und FIPS.

TLS und Lebenszyklusverwaltung

Durch das Upgrade oder die Migration eines ESXi-Hosts oder vCenter Server-Hosts zu 8.0 Update 3 wird standardmäßig das TLS-Profil COMPATIBLE aktiviert. vSphere 8.0 Update 3 unterstützt TLS 1.3 und TLS 1.2 für eine minimale Out of the box-Bare-Interoperabilität. In Zukunft wird beim Upgrade auf eine höhere Version von ESXi oder vCenter Server das aktuelle TLS-Profil verwendet, solange dieses Profil nicht stillgelegt wurde.

Wenn Sie ein Upgrade auf eine neue Version durchführen, legen Sie als Best Practice zuerst das TLS-Profil auf COMPATIBLE fest.

Wenn Sie vor dem Upgrade auf vSphere 8.0 Update 3 lokale Änderungen auf Dienstebene vornehmen, wird dem Host nach dem Upgrade das COMPATIBLE-Profil zugewiesen, das diese Änderungen nicht berücksichtigt. Damit der Host diese Änderungen berücksichtigt, wechseln Sie zum MANUAL-Profil. Weitere Informationen finden Sie unter Ändern des TLS-Profils eines ESXi-Hosts mithilfe des vSphere Client oder Ändern des TLS-Profils eines ESXi-Hosts mithilfe der CLI.

Warnung: Das TLS-Profil MANUAL funktioniert nicht fehlerfrei über Upgrades hinweg. Sie müssen überprüfen, ob ein bearbeitetes TLS-Profil MANUAL versionsübergreifend funktioniert, oder zum TLS-Profil COMPATIBLE wechseln.

TLS 1.3 auf Port 443 in ESXi und FIPS

Derzeit deaktiviert vSphere TLS 1.3 auf Port 443. Die Version des kryptografischen Moduls „BoringSSL“, das in vSphere 8.0 Update 3 verwendet wird, ist nicht FIPS-zertifiziert für TLS 1.3. Wenn Sie das TLS-Profil COMPATIBLE oder NIST_2024 verwenden, kommunizieren alle Ports außer 443 über TLS 1.3. Derzeit verwendet Port 443 aufgrund dieses Problems TLS 1.2.

Informationen zum Aktivieren von TLS 1.3 ohne FIPS auf Port 443 finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/92473.