Puede usar la utilidad de configuración de TLS para habilitar o deshabilitar las versiones de TLS en un host ESXi. Como parte del proceso, puede inhabilitar TLS 1.0 y habilitar TLS 1.1 y TLS 1.2. O bien, puede deshabilitar TLS 1.0 y TLS 1.1, y habilitar únicamente TLS 1.2.

Para los hosts ESXi, se usa una utilidad diferente que para los demás componentes del entorno de vSphere. La utilidad es específica de la versión y no se puede usar en una versión anterior.

Puede escribir un script para configurar varios hosts.

Requisitos previos

Asegúrese de que los productos o los servicios asociados con el host ESXi puedan comunicarse con TLS 1.1 o TLS 1.2. Para los productos que se comunican solo mediante TLS 1.0, se pierde la conectividad.

Procedimiento

  1. Inicie sesión en el sistema de vCenter Server con el nombre de usuario y la contraseña del usuario de vCenter Single Sign-On que puede ejecutar scripts.
  2. Desplácese hasta el directorio en donde se encuentra el script.
    Sistema operativo Comando
    Windows 
    cd %VMWARE_CIS_HOME%\TlsReconfigurator\EsxTlsReconfigurator
    Linux 
    cd /usr/lib/vmware-TlsReconfigurator/EsxTlsReconfigurator
  3. En un host ESXi que forma parte de un clúster, ejecute uno de los siguientes comandos.
    • Para deshabilitar TLS 1.0 y habilitar TLS 1.1 y TLS 1.2 en todos los hosts de un clúster, ejecute el siguiente comando.
      Sistema operativo Comando
      Windows 
      reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.1 TLSv1.2
      Linux 
      ./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.1 TLSv1.2
    • Para deshabilitar TLS 1.0 y TLS 1.1, y habilitar únicamente TLS 1.2 en todos los hosts de un clúster, ejecute el siguiente comando.
      Sistema operativo Comando
      Windows 
      reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.2
      Linux 
      ./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.2
  4. Para un host individual que no forma parte de un clúster, ejecute uno de los siguientes comandos.
    • Para deshabilitar TLS 1.0 y habilitar TLS 1.1 y TLS 1.2 en un host individual, ejecute el siguiente comando.
      Sistema operativo Comando
      Windows 
      reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.1 TLSv1.2
      Linux 
      ./reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.1 TLSv1.2
    • Para deshabilitar TLS 1.0 y TLS 1.1, y habilitar únicamente TLS 1.2 en un host individual, ejecute el siguiente comando.
      Sistema operativo Comando
      Windows 
      reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.2
      Linux 
      ./reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.2
      Nota: Para volver a configurar un host ESXi independiente, inicie sesión en un sistema vCenter Server y ejecute el comando reconfigureEsx con las opciones ESXiHost -h HOST -u ESXi_USER. En la opción HOST, puede especificar la dirección IP o el FQDN de un solo host ESXi o una lista de direcciones IP de host o varios FQDN. Por ejemplo, al iniciar sesión en vCenter Server y ejecutar el siguiente comando, se habilita TLS 1.1 y TLS 1.2 en dos hosts ESXi: 
      ./reconfigureEsx ESXiHost -h 198.51.100.2 198.51.100.3 -u root -p TLSv1.1 TLSv1.2

      Como alternativa, para volver a configurar un host ESXi independiente, puede iniciar sesión en el host y modificar la configuración avanzada de UserVars.ESXiVPsDisabledProtocols. Consulte el tema titulado "Configurar opciones de clave TLS/SSL avanzadas" en la documentación de Administrar un host único de vSphere: VMware Host Client para obtener más información.

  5. Reinicie el host ESXi para completar los cambios del protocolo TLS.