Habilitar o deshabilitar versiones de TLS en hosts ESXi

Puede usar la utilidad de configuración de TLS para habilitar o deshabilitar las versiones de TLS en un host ESXi. Como parte del proceso, puede inhabilitar TLS 1.0 y habilitar TLS 1.1 y TLS 1.2. O bien, puede deshabilitar TLS 1.0 y TLS 1.1, y habilitar únicamente TLS 1.2.

Para los hosts ESXi, se usa una utilidad diferente que para los demás componentes del entorno de vSphere. La utilidad es específica de la versión y no se puede usar en una versión anterior.

Puede escribir un script para configurar varios hosts.

Requisitos previos

Asegúrese de que los productos o los servicios asociados con el host ESXi puedan comunicarse con TLS 1.1 o TLS 1.2. Para los productos que se comunican solo mediante TLS 1.0, se pierde la conectividad.

El shell Bash debe estar habilitado en el vCenter Server Appliance.

Procedimiento

Mediante SSH, conéctese al vCenter Server Appliance con el nombre de usuario y la contraseña del usuario de vCenter Single Sign-On que puede ejecutar scripts.
Para habilitar el shell Bash, escriba shell en la línea de comandos.
Desplácese hasta el directorio en donde se encuentra el script.
```
cd /usr/lib/vmware-TlsReconfigurator/EsxTlsReconfigurator
```
En un host ESXi que forma parte de un clúster, ejecute uno de los siguientes comandos.
- Para deshabilitar TLS 1.0 y habilitar TLS 1.1 y TLS 1.2 en todos los hosts de un clúster, ejecute el siguiente comando.
```
./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.1 TLSv1.2
```
- Para deshabilitar TLS 1.0 y TLS 1.1, y habilitar únicamente TLS 1.2 en todos los hosts de un clúster, ejecute el siguiente comando.
```
./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.2
```
Para un host individual que no forma parte de un clúster, ejecute uno de los siguientes comandos.
- Para deshabilitar TLS 1.0 y habilitar TLS 1.1 y TLS 1.2 para un host individual, ejecute el siguiente comando.
```
./reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.1 TLSv1.2
```
- Para deshabilitar TLS 1.0 y TLS 1.1, y habilitar únicamente TLS 1.2 para un host individual, ejecute el siguiente comando.
```
./reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.2
```
  Nota: Para volver a configurar un host ESXi independiente, inicie sesión en un sistema vCenter Server y ejecute el comando reconfigureEsx con las opciones ESXiHost -h HOST -u ESXi_USER. En la opción HOST, puede especificar la dirección IP o el FQDN de un solo host ESXi o una lista de direcciones IP de host o varios FQDN. Por ejemplo, al iniciar sesión en vCenter Server y ejecutar el siguiente comando, se habilita TLS 1.1 y TLS 1.2 en dos hosts ESXi:
```
./reconfigureEsx ESXiHost -h 198.51.100.2 198.51.100.3 -u root -p TLSv1.1 TLSv1.2
```
  Como alternativa, para volver a configurar un host ESXi independiente, puede iniciar sesión en el host y modificar la configuración avanzada de UserVars.ESXiVPsDisabledProtocols. Consulte el tema titulado "Configurar opciones de clave TLS/SSL avanzadas" en la documentación de Administrar un host único de vSphere: VMware Host Client para obtener más información.
Reinicie el host ESXi para completar los cambios del protocolo TLS.