Puede usar la utilidad de configuración de TLS para deshabilitar las versiones de TLS en un host ESXi. Como parte del proceso, puede habilitar TLS 1.1 y TLS 1.2, o bien habilitar únicamente TLS 1.2.
Para los hosts ESXi, se usa un script diferente que para los demás componentes del entorno de vSphere.
Nota: El script deshabilita tanto TLS 1.0 como TLS 1.1, a menos que especifique la opción
-p.
Para ver las versiones actuales de TLS, puede conectarse a un host ESXi y ejecutar comandos openssl similares a los siguientes:
openssl s_client -tls1 -connect localhost:443 | head -5
openssl s_client -tls1_1 -connect localhost:443 | head -5
openssl s_client -tls1_2 -connect localhost:443 | head -5
Requisitos previos
Asegúrese de que los productos o los servicios asociados con el host ESXi puedan comunicarse con TLS 1.1 o TLS 1.2. Para los productos que se comunican solo mediante TLS 1.0, se pierde la conectividad.
Este procedimiento explica cómo realizar la tarea en un solo host. Puede escribir un script para configurar varios hosts.
Procedimiento
- Inicie sesión en el sistema de vCenter Server con el nombre de usuario y la contraseña del usuario de vCenter Single Sign-On que puede ejecutar scripts.
- Desplácese hasta el directorio en donde se encuentra el script.
| Sistema operativo |
Comando |
| Windows |
cd ..\EsxTlsReconfigurator |
| Linux |
cd ../EsxTlsReconfigurator |
- En un host que forma parte de un clúster, ejecute uno de los siguientes comandos.
- Para deshabilitar TLS 1.0 y habilitar TLS 1.1 y TLS 1.2 en todos los hosts de un clúster, ejecute el siguiente comando.
| Sistema operativo |
Comando |
| Windows |
reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.1 TLSv1.2 |
| Linux |
./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.1 TLSv1.2 |
- Para deshabilitar TLS 1.0 y TLS 1.1, y habilitar únicamente TLS 1.2 en todos los hosts de un clúster, ejecute el siguiente comando.
| Sistema operativo |
Comando |
| Windows |
reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.2 |
| Linux |
./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.2 |
- En un host individual, ejecute uno de los siguientes comandos.
- Para deshabilitar TLS 1.0 y habilitar TLS 1.1 y TLS 1.2 en un host individual, ejecute el siguiente comando.
| Sistema operativo |
Comando |
| Windows |
reconfigureEsx vCenterHost -h <ESXi_Host_Name> -u Administrative_User -p TLSv1.1 TLSv1.2 |
| Linux |
./reconfigureEsx vCenterHost -h <ESXi_Host_Name> -u Administrative_User -p TLSv1.1 TLSv1.2 |
Nota: Para volver a configurar un host
ESXi independiente (uno que no forme parte de un sistema de
vCenter Server), utilice las opciones
ESXiHost
-h
HOST
-u
ESXi_USER. En la opción
HOST, puede especificar la dirección IP o el FQDN de un solo host
ESXi o una lista de direcciones IP de host o varios FQDN. Por ejemplo, para habilitar TLS 1.1 y TLS 1.2 en dos hosts
ESXi:
reconfigureEsx ESXiHost -h 198.51.100.2 198.51.100.3 -u root -p TLSv1.1 TLSv1.2
- Para deshabilitar TLS 1.0 y TLS 1.1, y habilitar únicamente TLS 1.2 en un host individual, ejecute el siguiente comando.
| Sistema operativo |
Comando |
| Windows |
reconfigureEsx vCenterHost -h <ESXi_Host_Name> -u Administrative_User -p TLSv1.2 |
| Linux |
./reconfigureEsx vCenterHost -h <ESXi_Host_Name> -u Administrative_User -p TLSv1.2 |
- Reinicie el host ESXi para completar los cambios del protocolo TLS.
