Verwalten der vSphere-TLS

Ab vSphere 8.0 Update 3 können Sie TLS-Profile für ESXi mithilfe von vSphere Client, des esxcli-Befehls oder der APIs verwalten. Für vCenter Server verwalten Sie TLS-Profile mithilfe von APIs.

Wenn Sie vSphere Configuration Profiles verwenden, können Sie die TLS-Einstellung für ESXi-Hosts auf vLCM-Clusterebene verwalten. Sie können die TLS-Einstellung für den Cluster ändern und den Cluster anhand dieser neuen Konfiguration standardisieren. Weitere Informationen finden Sie im Kapitel zum Verwalten von vSphere Configuration Profiles in der Dokumentation zum Verwalten des Lebenszyklus von Host und Cluster.

Für eigenständige ESXi-Hosts und Nicht-vLCM-Cluster müssen Sie das TLS-Profil mithilfe der esxcli-Befehle verwalten. Weitere Informationen finden Sie in der Dokumentation zum ESXCLI – Konzepte und Beispiele und in der Online-Hilfe zu esxcli.

Derzeit können Sie vCenter Server TLS-Profile nur mithilfe von APIs verwalten. Weitere Informationen finden Sie im Programmierhandbuch zu den vSphere Automation SDKs und im Programmierhandbuch zur vSphere Automation REST API.

Anzeigen des TLS-Profils eines ESXi-Hosts mit vSphere Client

Sie können vSphere Client verwenden, um das TLS-Profil eines ESXi-Hosts anzuzeigen, der Teil eines vLCM-Clusters ist.

In vSphere Configuration Profiles verwenden nicht explizit konfigurierte Einstellungen die Standardwerte aus dem entsprechenden Profil. Für TLS-Profile lautet die Standardeinstellung COMPATIBLE.

Informationen zum Anzeigen des TLS-Profils eines eigenständigen oder Nicht-vLCM-Clusters auf einem ESXi-Host finden Sie unter Anzeigen des TLS-Profils eines ESXi-Hosts mithilfe der CLI.

Voraussetzungen

Sie haben vSphere Configuration Profiles aktiviert und eine Entwurfskonfiguration für den Cluster erstellt. Informationen finden Sie in der Dokumentation Verwalten des Lebenszyklus von Host und Cluster.

Prozedur

Navigieren Sie in vSphere Client zum vLCM-Cluster, den Sie mit einem einzelnen Image verwalten.
Klicken Sie auf der Registerkarte Konfigurieren auf Gewünschter Zustand > Konfiguration.
Klicken Sie auf der Registerkarte Einstellungen auf System.
Klicken Sie auf tls_client oder tls_server, um anzuzeigen, welches TLS-Profil im aktuellen gewünschten Konfigurationsdokument definiert ist.

Anzeigen des TLS-Profils eines ESXi-Hosts mithilfe der CLI

Sie können die CLI verwenden, um das aktuell konfigurierte TLS-Profil eines ESXi-Hosts anzuzeigen.

Für eigenständige ESXi-Hosts und Nicht-vLCM-Cluster müssen Sie das TLS-Profil mithilfe der esxcli-Befehle verwalten. Weitere Informationen finden Sie unter ESXCLI – Referenz. Für ESXi-Hosts in einem vLCM-Cluster können Sie entweder vSphere Configuration Profiles oder esxcli-Befehle verwenden.

Voraussetzungen

Aktivieren Sie entweder SSH oder die ESXi Shell auf dem ESXi-Host.

Prozedur

Stellen Sie eine Verbindung zum ESXi-Host her.
Sie können SSH oder ESXi Shell verwenden.
Führen Sie den folgenden Befehl aus, um das aktuell konfigurierte TLS-Profil anzuzeigen.
```
esxcli system tls [client | server] get
```
Führen Sie den folgenden Befehl aus, um die Parameter im aktuell konfigurierten TLS-Profil anzuzeigen:
```
esxcli system tls [client | server] get --show-profile-defaults
```

Ändern des TLS-Profils eines ESXi-Hosts mithilfe des vSphere Client

Sie können das TLS-Profil eines ESXi-Hosts ändern. Das Standardmäßige TLS-Profil ist KOMPATIBEL.

Voraussetzungen

Prozedur

Navigieren Sie in vSphere Client zu einem Cluster, den Sie mit einem einzelnen Image verwalten.
Klicken Sie auf der Registerkarte Konfigurieren auf Gewünschter Zustand > Konfiguration.
Klicken Sie auf der Registerkarte Einstellungen auf System.
Klicken Sie auf tls_client oder tls_server.
Je nachdem, ob die Einstellung zuvor geändert wurde, klicken Sie entweder auf Konfigurationseinstellungen oder auf Bearbeiten.
Wählen Sie ein TLS-Profil im Dropdown-Menü aus.
Klicken Sie auf Speichern.
Standardisieren Sie den Cluster anhand der Entwurfskonfiguration.
1. Um den Cluster anhand der Entwurfskonfiguration zu standardisieren, klicken Sie auf der Registerkarte Entwurf auf Änderungen anwenden.
2. Folgen Sie den Schritten im Assistenten Standardisieren. Weitere Informationen finden Sie in der Dokumentation Verwalten des Lebenszyklus von Host und Cluster.

Ergebnisse

Alle ESXi-Hosts im Cluster sind mit der gewünschten Konfiguration kompatibel.

Ändern des TLS-Profils eines ESXi-Hosts mithilfe der CLI

Sie können das TLS-Profil eines ESXi-Hosts ändern. Das Standardmäßige TLS-Profil ist KOMPATIBEL.

Voraussetzungen

Aktivieren Sie entweder SSH oder die ESXi Shell auf dem ESXi-Host.

Prozedur

Stellen Sie eine Verbindung zum ESXi-Host her.
Sie können dazu SSH oder die ESXi Shell verwenden.
Versetzen Sie den ESXi-Host in den Wartungsmodus.
Um das TLS-Profil zu ändern, führen Sie den folgenden Befehl aus.
```
esxcli system tls [client | server] set --profile [COMPATIBLE | NIST_2024 | MANUAL]
```
Hinweis: Wenn Sie Änderungen an den TLS-Parametern vornehmen möchten (entweder auf System- oder Dienstebene), wählen Sie das Profil MANUELL aus.
Starten Sie den ESXi-Host neu, damit die Änderungen wirksam werden.
Nachdem der ESXi-Host neu gestartet wurde, beenden Sie den Wartungsmodus.

Bearbeiten der Parameter im MANUAL TLS-Profil in der CLI

Den Parametersatz im MANUAL TLS-Profil können Sie bearbeiten. Um TLS-Parameter wie Verschlüsselungsliste und Verschlüsselungssuite zu ändern, müssen Sie für das TLS-Profil zuerst auf MANUAL festlegen.

Warnung: Broadcom unterstützt das MANUAL TLS-Profil nicht. Es werden nur die TLS-Profile COMPATIBLE und NIST_2024 unterstützt. Die Verwendung des MANUAL TLS-Profils erfolgt auf eigene Gefahr.

Die Parameter im MANUAL TLS-Profil verwalten Sie über esxcli-Befehle. Die Verwaltung der Parameter des MANUAL TLS-Profils ist nicht in vSphere Configuration Profiles integriert.

Sie können TLS-Parameter nicht für einzelne vSphere-Dienste festlegen. Änderungen, die Sie unter Verwendung des MANUAL TLS-Profils vornehmen, werden auf Systemebene angewendet.

Voraussetzungen

Aktivieren Sie entweder SSH oder die ESXi Shell auf dem ESXi-Host.

Ändern Sie das TLS-Profil in MANUAL. Sehen Sie hierzu Ändern des TLS-Profils eines ESXi-Hosts mithilfe des vSphere Client oder Ändern des TLS-Profils eines ESXi-Hosts mithilfe der CLI.

Prozedur

Stellen Sie eine Verbindung zum ESXi-Host her.
Sie können dazu SSH oder die ESXi Shell verwenden.
Versetzen Sie den ESXi-Host in den Wartungsmodus.
Stellen Sie sicher, dass das TLS-Profil auf MANUAL festgelegt ist.
```
esxcli system tls [client | server] get
```
Führen Sie folgende Befehle aus, um die Parameter zu ändern.
```
esxcli system tls [client | server] set --cipher-list=str
esxcli system tls [client | server] set --cipher-suite=str
esxcli system tls [client | server] set --groups=str
esxcli system tls [client | server] set --protocol-versions=str
```
str ist hier eine Zeichenfolge im OpenSSL-Stil, d. h. durch Doppelpunkte, Kommas oder Leerzeichen getrennt. Beispiel: --cipher-list=ECDHE+AESGCM:ECDHE+AES

Weitere Informationen erhalten Sie, indem Sie folgenden Befehl ausführen:
```
esxcli system tls [client | server] set --help
```
Starten Sie den ESXi-Host neu, damit die Änderungen wirksam werden.
Nachdem der ESXi-Host neu gestartet wurde, beenden Sie den Wartungsmodus.

Beispiel

Im folgenden Beispiel wird zuerst das TLS-Profil auf MANUAL festgelegt. Dann wird ein restriktiverer Satz Kurven (Gruppen) festgelegt. Damit die Änderungen wirksam werden, ist ein Neustart erforderlich.

[root@host1] esxcli system tls server get
   Profile: COMPATIBLE
   Cipher List: <profile default>
   Cipher Suite: <profile default>
   Groups: <profile default>
   Protocol Versions: <profile default>
   Reboot Required: false
[root@host1] esxcli system tls server set --profile MANUAL
[root@host1] esxcli system tls server get
   Profile: MANUAL
   Cipher List: ECDHE+AESGCM:ECDHE+AES
   Cipher Suite: TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384
   Groups: prime256v1:secp384r1:secp521r1
   Protocol Versions: tls1.2,tls1.3
   Reboot Required: true
[root@host1] esxcli system tls server set --groups=prime256v1:secp384r1
[root@host1] esxcli system tls server get
   Profile: MANUAL
   Cipher List: TLS_AES_128_CCM_SHA256
   Cipher Suite: TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384
   Groups: prime256v1:secp384r1
   Protocol Versions: tls1.2,tls1.3
   Reboot Required: true

Verwalten des TLS-Profils eines vCenter Server-Hosts

Sie verwenden die APIs, um das TLS-Profil für einen vCenter Server-Host anzuzeigen und zu ändern.

Zur Ausführung von HTTP-Anforderungen stehen mehrere Möglichkeiten zur Verfügung. Diese Aufgabe zeigt die Verwendung von Developer Center im vSphere Client zum Verwalten von TLS-Profilen. Im VMware vCenter Server Management-Programmierhandbuch finden Sie weitere Informationen zur Verwendung von APIs zum Verwalten der vCenter Server Appliance.

Prozedur

Melden Sie sich mit dem vSphere Client beim vCenter Server-System an.
Wählen Sie im Menü die Option Developer Center aus.
Klicken Sie auf API-Explorer.

Wählen Sie im Dropdown API auswählen die Option Appliance aus.

Die folgenden API-Kategorien und -Aktionen sind verfügbar.

Tabelle 1. vCenter Server TLS-APIs
Option	API-Kategorie	Zugeordnete Aktion
Ruft die Liste aller TLS-Profile und deren Konfiguration ab.	tls/profiles/	GET
Ruft die Parameter eines bestimmten TLS-Profils ab.	tls/profiles/{id}	GET
Ruft den Namen des aktuellen TLS-Profils ab, das global konfiguriert ist.	tls/profiles/global/	GET
Legt eines der Standardprofile fest, die von Ihnen global angegeben werden.	tls/profiles/global/	PUT Hinweis: Mit dieser Aktion werden die vCenter Server-Dienste neu gestartet.
Ruft die Parameter des aktuellen TLS-Profils ab, das global konfiguriert ist.	tls/manual-parameters/global	GET

Hinweis: Derzeit können Sie die Parameter eines vCenter Server TLS-Profils nicht ändern.

Führen Sie den gewünschten Befehl aus.