Cuando se ejecuta la utilidad de configuración de TLS en el entorno de vSphere, se puede deshabilitar TLS en los puertos que usan TLS en los hosts vCenter Server, Platform Services Controller y ESXi. Es posible deshabilitar TLS 1.0, o bien TLS 1.0 y TLS 1.1.

En la siguiente tabla, se enumeran los puertos. Si un puerto no se incluye, la utilidad no lo afecta.

Tabla 1. vCenter Server y Platform Services Controller afectados por la utilidad de configuración de TLS

Servicio

Nombre en Windows

Nombre en Linux

Puerto

VMware HTTP Reverse Proxy

rhttpproxy

vmware-rhttpproxy

443

VMware Directory Service

VMWareDirectoryService

vmdird

636

VMware Syslog Collector (*)

vmwaresyslogcollector (*)

rsyslogd

1514

Interfaz de VMware Appliance Management

N.A.

applmgmt (*)

5480

vSphere Auto Deploy Waiter

vmware-autodeploy-waiter

vmware-rbd-watchdog

6501

6502

Servicio de token seguro de VMware

VMwareSTS

vmware-stsd

7444

vSphere Authentication Proxy

VMWareCAMService

vmcam

7476

Servicio de vSphere Update Manager (**)

vmware-ufad-vci (**)

vmware-updatemgr

8084

9087

vSphere Web Client

vspherewebclientsvc

vsphere-client

9443

vSphere H5 Web Client

vsphere-ui

vsphere-ui

5443

VMware Directory Service

VMWareDirectoryService

vmdird

11712

(*) TLS se controla mediante la lista de cifrado para estos servicios. La administración granular no es posible. Solo se admiten TLS 1.2 o todas las versiones TLS 1.x.

(**) En vCenter Server Appliance, vSphere Update Manager se encuentra en el mismo sistema que vCenter Server. En vCenter Server en Windows, TLS se configura mediante la edición de los archivos de configuración. Consulte Deshabilitar las versiones de TLS en vSphere Update Manager.

Tabla 2. Puertos ESXi afectados por la utilidad de configuración de TLS

Servicio

Nombre del servicio

Puerto

VMware HTTP Reverse Proxy y daemon de host

Hostd

443

VMware vSAN VASA Vendor Provider

vSANVP

8080

VMware Fault Domain Manager

FDM

8182

VMware vSphere API para filtros de E/S

ioFilterVPServer

9080

Daemon de autorización de VMware

vmware-authd

902

Notas y advertencias

  • Asegúrese de que los hosts ESXi heredados que se administran mediante vCenter Server admitan una versión habilitada de TLS, ya sea TLS 1.1 y TLS 1.2 o solo TLS 1.2. Cuando se deshabilita una versión de TLS en vCenter Server 6.5, vCenter Server ya no puede administrar los hosts ESXi 5.x y 6.0 heredados. Actualice estos hosts a versiones compatibles con TLS 1.1 o TLS 1.2.

  • No puede utilizar una conexión de solo TLS 1.2 para una instancia de Microsoft SQL Server externa o una base de datos de Oracle externa.

  • No deshabilite TLS 1.0 en una instancia de vCenter Server o de Platform Services Controller que se ejecute en Windows Server 2008. Windows 2008 admite únicamente TLS 1.0. Consulte el artículo de Microsoft TechNet Configuración de TLS/SSL incluido en la guía de tecnologías y funciones de servidor.

  • En las siguientes circunstancias, es necesario reiniciar los servicios del host después de aplicar cambios de configuración de TLS.

    • Si aplica los cambios en el host ESXi directamente.

    • Si aplica los cambios a través de la configuración del clúster mediante el uso de perfiles de host.