Cuando se ejecuta la utilidad de configuración de TLS en el entorno de vSphere, se puede deshabilitar TLS en los puertos que usan TLS en hosts vCenter Server y ESXi. Es posible deshabilitar TLS 1.0, o bien TLS 1.0 y TLS 1.1.
A partir de vSphere 7.0, vCenter Server ejecuta dos servicios de proxy inverso:
- El servicio de proxy inverso de VMware,
rhttpproxy
- Envoy
Envoy es un proxy de servicio y una instancia de Edge de código abierto. Envoy tiene el puerto 443 y todas las solicitudes entrantes de vCenter Server se enrutan mediante Envoy. En vSphere 7.0, rhttpproxy
funciona como servidor de administración de configuración para Envoy. Como resultado, la configuración de TLS se aplica a rhttpproxy
que, a su vez, envía la configuración a Envoy.
vCenter Server y ESXi utilizan puertos que pueden habilitarse o deshabilitarse para los protocolos TLS. La opción scan
de la utilidad de configuración de TLS muestra qué versiones de TLS están habilitadas para cada servicio. Consulte Buscar protocolos TLS habilitados en vCenter Server.
Para obtener la lista de todos los puertos y protocolos compatibles en los productos de VMware, incluidos vSphere y vSAN, consulte la herramienta VMware Ports and Protocols™ en https://ports.vmware.com/. Puede buscar puertos por producto de VMware, crear una lista de puertos personalizada e imprimir o guardar listas de puertos.
Notas y advertencias
- La versión de vSphere 6.7 fue la última versión de vCenter Server para Windows. Consulte la documentación de Seguridad de vSphere de la versión 6.7 del producto para obtener información sobre cómo volver a configurar TLS para puertos de Update Manager en vCenter Server para Windows.
- Puede usar TLS 1.2 para cifrar la conexión entre vCenter Server y una instancia externa de Microsoft SQL Server. No se puede utilizar una conexión solo de TLS 1.2 para una base de datos de Oracle externa. Consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/kb/2149745.
- Para vSphere 6.7 y versiones anteriores, no deshabilite TLS 1.0 en una instancia de vCenter Server o de Platform Services Controller que se ejecute en Windows Server 2008. Windows 2008 admite únicamente TLS 1.0. Consulte el artículo de Microsoft TechNet Configuración de TLS/SSL incluido en la guía de tecnologías y funciones de servidor.
- Si cambia los protocolos TLS, debe reiniciar el host ESXi para aplicar los cambios. Debe reiniciar el host incluso si aplica los cambios a través de la configuración del clúster mediante el uso de perfiles de host. Puede reiniciar el host de forma inmediata o aplazar el reinicio para un momento más oportuno.