vSphere solo activa TLS de forma predeterminada. TLS 1.0 y TLS 1.1 están desactivados de forma predeterminada. Independientemente de que se realicen una instalación nueva, una actualización o una migración, vSphere desactiva TLS 1.0 y TLS 1.1. Es posible usar la utilidad de configuración de TLS para activar temporalmente las versiones anteriores del protocolo en los sistemas vCenter Server. Una vez que todas las conexiones utilicen TLS 1.2, podrá desactivar las versiones anteriores menos seguras.

A partir de ESXi 8.0, solo se admite TLS 1.2. ESXi 8.0 ya no es compatible con TLS 1.0 y 1.1, ni se pueden activar estas versiones de protocolo anteriores. La ejecución silenciosa de la utilidad de configuración de TLS en ESXi 8.0 no notifica ningún error.

Antes de realizar una nueva configuración de las versiones anteriores del protocolo en vCenter Server, tenga en cuenta su entorno. Según los requisitos del entorno y las versiones de software, es posible que deba volver a activar TLS 1.0 y TLS 1.1, además de TLS 1.2, para mantener la interoperabilidad. Consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/2145796 para obtener una lista de los productos de VMware que admiten TLS 1.2. Para la integración con terceros, consulte la documentación del proveedor. La utilidad de configuración de TLS funciona con vSphere 8.0 y versiones anteriores, entre las que se incluyen 7.0, 6.7, 6.5 y 6.0.

vCenter Server utiliza puertos que pueden activarse o desactivarse para los protocolos TLS. La opción scan de la utilidad de configuración de TLS muestra qué versiones de TLS están activadas para cada servicio. Consulte Buscar protocolos TLS en vCenter Server.

Para obtener la lista de todos los puertos y protocolos compatibles en los productos de VMware, incluidos vSphere y vSAN, consulte la herramienta VMware Ports and Protocols™ en https://ports.vmware.com/. Puede buscar puertos por producto de VMware, crear una lista de puertos personalizada e imprimir o guardar listas de puertos.

vCenter Server y Envoy

En vSphere 7.0 y versiones posteriores, vCenter Server ejecuta dos servicios de proxy inverso:

  • El servicio de proxy inverso de VMware, rhttpproxy
  • Envoy

Envoy es un proxy de servicio y una instancia de Edge de código abierto. Envoy tiene el puerto 443 y todas las solicitudes entrantes de vCenter Server se enrutan mediante Envoy. En vSphere 7.0 y otras versiones posteriores, rhttpproxy funciona como un servidor de administración de configuración para Envoy. Como resultado, la configuración de TLS se aplica a rhttpproxy que, a su vez, envía la configuración a Envoy.

Notas y advertencias sobre vSphere y TLS

  • La versión de vSphere 6.7 fue la última versión de vCenter Server para Windows. Consulte la documentación de Seguridad de vSphere de la versión 6.7 del producto para obtener información sobre cómo volver a configurar TLS para puertos de Update Manager en vCenter Server para Windows.
  • Puede usar TLS 1.2 para cifrar la conexión entre vCenter Server y una instancia externa de Microsoft SQL Server. No se puede utilizar una conexión solo de TLS 1.2 para una base de datos de Oracle externa. Consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/kb/2149745.
  • Para vSphere 6.7 y versiones anteriores, no desactive TLS 1.0 en una instancia de vCenter Server o de Platform Services Controller que se ejecute en Windows Server 2008. Windows 2008 admite únicamente TLS 1.0. Consulte el artículo de Microsoft TechNet Configuración de TLS/SSL incluido en la guía de tecnologías y funciones de servidor.

Realice una copia de seguridad TLS manual opcional de vCenter Server

La utilidad de configuración de TLS realiza una copia de seguridad de la configuración de TLS cada vez que el script modifica vCenter Server. Si debe guardar una copia de seguridad en un directorio específico, puede realizar una copia de seguridad manual.

En el caso de vCenter Server, el directorio predeterminado es /tmp/yearmonthdayTtime.

Procedimiento

  1. Conéctese mediante SSH a vCenter Server.
  2. Cambie el directorio a /usr/lib/vmware-TlsReconfigurator/VcTlsReconfigurator.
  3. Para realizar una copia de seguridad en un directorio específico, ejecute el siguiente comando.
    directory_path/VcTlsReconfigurator> ./reconfigureVc backup -d backup_directory_path
  4. Compruebe que la copia de seguridad se haya realizado correctamente.
    Una copia de seguridad correcta es similar al siguiente ejemplo. El orden en el que se muestran los servicios puede ser diferente cada vez que se ejecuta el comando reconfigureVc backup debido a la manera en la que este se ejecuta.
    vCenter Transport Layer Security reconfigurator, version=8.0.0, build=10068142
    For more information refer to the following article: https://kb.vmware.com/kb/2147469
    Log file: "/var/log/vmware/vSphere-TlsReconfigurator/VcTlsReconfigurator.log".
    ================= Backing up vCenter Server TLS configuration ==================
    Using backup directory: /tmp/20220714T225653
    Backing up: vmcam
    Backing up: vmdird
    Backing up: vmware-rhttpproxy
    Backing up: vmware-stsd
    Backing up: vami-lighttp
    Backing up: vmware-rbd-watchdog
    Backing up: rsyslog
    Backing up: vmware-updatemgr
    Backing up: vmware-sps
    Backing up: vmware-vpxd
  5. (opcional) Si debe realizar una restauración más adelante, puede ejecutar el siguiente comando.
    reconfigureVc restore -d optional_custom_backup_directory_path

Activar o desactivar versiones de TLS en sistemas vCenter Server

Puede usar la utilidad de configuración de TLS para activar o desactivar las versiones de TLS en sistemas vCenter Server. Como parte del proceso, puede desactivar TLS 1.0 y activar TLS 1.1 y TLS 1.2, o bien desactivar TLS 1.0 y TLS 1.1, y activar únicamente TLS 1.2.

Requisitos previos

Asegúrese de que los hosts y los servicios que administra vCenter Server puedan comunicarse con una versión de TLS que permanezca activada. Para los productos que se comunican solo mediante TLS 1.0, la conectividad deja de estar disponible.

Procedimiento

  1. Inicie sesión en el sistema de vCenter Server con el nombre de usuario y la contraseña de administrator@vsphere.local, o como otro miembro del grupo de administradores de vCenter Single Sign-On que pueden ejecutar scripts.
  2. Desplácese hasta el directorio en donde se encuentra el script.
    cd /usr/lib/vmware-TlsReconfigurator/VcTlsReconfigurator
  3. Ejecute el comando, según la versión de TLS que desee utilizar.
    • Para desactivar TLS 1.0 y activar TLS 1.1 y TLS 1.2, ejecute el siguiente comando.
      directory_path/VcTlsReconfigurator> ./reconfigureVc update -p TLSv1.1 TLSv1.2
    • Para desactivar TLS 1.0 y TLS 1.1, y activar únicamente TLS 1.2, ejecute el siguiente comando.
      directory_path/VcTlsReconfigurator> ./reconfigureVc update -p TLSv1.2
  4. Si el entorno incluye otros sistemas vCenter Server, repita el proceso en cada sistema vCenter Server.

Buscar protocolos TLS en vCenter Server

Después de activar o desactivar las versiones de TLS en vCenter Server, puede utilizar la utilidad de configuración de TLS para ver los cambios.

La opción scan de la utilidad de configuración de TLS muestra qué versiones de TLS están activadas para cada servicio.

Procedimiento

  1. Inicie sesión en el sistema vCenter Server.
    1. Conéctese al dispositivo mediante SSH e inicie sesión como usuario con privilegios para ejecutar scripts.
    2. Si no está habilitado el shell de Bash, ejecute los siguientes comandos.
      shell.set --enabled true
      shell
  2. Vaya al directorio VcTlsReconfigurator.
    cd /usr/lib/vmware-TlsReconfigurator/VcTlsReconfigurator
  3. Para mostrar los servicios que tienen TLS activado y los puertos utilizados, ejecute el siguiente comando.
    reconfigureVc scan

Revertir los cambios de configuración de TLS de vCenter Server

Puede usar la utilidad de configuración de TLS para revertir los cambios de configuración. Al revertir los cambios, el sistema activa los protocolos que se desactivaron mediante la utilidad de configuración de TLS.

Requisitos previos

Antes de revertir los cambios, utilice la interfaz de administración de vCenter Server para realizar una copia de seguridad de vCenter Server.

Procedimiento

  1. Conéctese a la instancia de vCenter Server donde desea revertir los cambios como usuario con privilegios para ejecutar scripts.
  2. Si no está habilitado el shell de Bash, ejecute los siguientes comandos.
    shell.set --enabled true
    shell
  3. Vaya al directorio VcTlsReconfigurator.
    cd /usr/lib/vmware-TlsReconfigurator/VcTlsReconfigurator
  4. Revise la copia de seguridad anterior.
    grep "backup directory" /var/log/vmware/vSphere-TlsReconfigurator/VcTlsReconfigurator.log
    
    El resultado es similar al siguiente ejemplo.
    2022-07-14T22:56:53.706Z INFO Using backup directory: /tmp/20220714T225653
    2022-07-14T22:58:08.594Z INFO Using backup directory: /tmp/20220714T225808
    
  5. Ejecute el siguiente comando para realizar una restauración.
    reconfigureVc restore -d Directory_path_from_previous_step
    
    Se restaura la configuración de TLS. Como parte del proceso, se reinicia vCenter Server.
  6. Repita el procedimiento en cualquier otra instancia de vCenter Server.