A partir de la versión 8.0 Update 3, vSphere admite TLS 1.3 y 1.2 mediante el uso de perfiles de TLS. Los perfiles de TLS simplifican el trabajo de administrar los parámetros de TLS y también mejoran la compatibilidad.
vSphere 8.0 Update 3 activa el perfil de TLS predeterminado, denominado COMPATIBLE, en los hosts de ESXi y vCenter Server. El perfil COMPATIBLE admite TLS 1.3 y algunas conexiones de TLS 1.2.
Puede administrar perfiles de TLS en hosts de ESXi mediante vSphere Configuration Profiles o comandos esxcli. En los hosts de vCenter Server, puede administrar perfiles de TLS mediante API. Por ejemplo, puede utilizar el Centro para desarrolladores en vSphere Client. Consulte la Guía de programación de vSphere Automation SDK y la Guía de programación de vSphere Automation REST API.
vCenter Server y Envoy
vCenter Server ejecuta dos servicios de proxy inverso:
- El servicio de proxy inverso de VMware,
rhttpproxy - Envoy
Envoy es un proxy de servicio y una instancia de Edge de código abierto. Envoy tiene el puerto 443 y todas las solicitudes entrantes de vCenter Server se enrutan mediante Envoy. rhttpproxy funciona como servidor de administración de configuración para Envoy. Como resultado, la configuración de TLS se aplica a rhttpproxy que, a su vez, envía la configuración a Envoy.
Cómo vSphere implementa TLS mediante perfiles de TLS
vSphere 8.0 Update 3 implementa TLS 1.3 mediante la agrupación de parámetros, incluidas las versiones de protocolo, los grupos (también denominados curvas) y los cifrados, en un único perfil de TLS. Este perfil de TLS se aplica a todo el sistema. El uso de un único perfil de TLS facilita la sobrecarga administrativa de los hosts. Ya no es necesario configurar parámetros TLS individuales de forma manual, aunque esa capacidad sigue disponible de ser necesario. Los perfiles de TLS también mejoran de manera significativa la compatibilidad. La agrupación de parámetros en perfiles de TLS simplifica el conjunto de soluciones de TLS verificadas de VMware para elegir. En ESXi, los perfiles de TLS se integran con vSphere Configuration Profiles.
Se proporcionan los siguientes perfiles de TLS de ESXi:
- COMPATIBLE: el perfil predeterminado. La asignación exacta de los parámetros de este perfil puede cambiar de una versión a otra, pero se garantiza que el perfil sea compatible con todos los productos y versiones admitidos (versiones N-2 actuales). Es decir, un host de ESXi de la versión N que utiliza el perfil COMPATIBLE puede comunicarse con un host de la versión N-2.
- NIST_2024: un perfil más restrictivo que admite específicamente el estándar NIST 2024. Se garantiza que la asignación exacta de parámetros de este perfil cumpla con el estándar NIST 2024 en todas las versiones. Se garantiza que este perfil solo sea compatible con las versiones actuales o más recientes, y no con versiones anteriores.
- MANUAL: utilice este perfil para crear y probar una configuración ad hoc en la que proporcione de forma manual los parámetros de TLS. No se garantiza que un perfil MANUAL funcione sin errores. Debe probar un perfil MANUAL, incluidas las actualizaciones de software. Si elige utilizar el perfil MANUAL, el comportamiento del sistema primero se establece de forma predeterminada como el perfil seleccionado antes (COMPATIBLE o NIST_2024) y se mantiene como tal hasta que usted realice cambios. Debe utilizar comandos
esxclipara administrar el perfil de TLS MANUAL. Consulte el texto de ayuda que se incluye conesxclipara obtener más información sobre cómo cambiar los parámetros en un perfil de TLS MANUAL.
Durante la configuración del perfil de TLS al estado deseado, debe reiniciar el host de ESXi o corregir el clúster de vLCM en el que reside el host de ESXi para aplicar los cambios.
En las siguientes tablas, se muestran los detalles de los perfiles de TLS para ESXi y vCenter Server en vSphere 8.0 Update 3. En la columna Lista de cifrados, se muestran los cifrados de TLS para TLS 1.2 y los protocolos inferiores. En la columna Conjuntos de cifrados, se muestran los cifrados del protocolo de TLS 1.3.
| Nombre del perfil de TLS | Versiones del protocolo de TLS | Lista de cifrados | Conjuntos de claves de cifrado | Curvas | ¿VMware es compatible? |
|---|---|---|---|---|---|
| COMPATIBLE | TLS 1.3 y TLS 1.2 | ECDHE+AESGCM:ECDHE+AES | TLS_AES_256_GCM_SHA384; TLS_AES_128_GCM_SHA256 |
prime256v1:secp384r1:secp521r1 | Sí |
| NIST_2024 | TLS 1.3 y TLS 1.2 | ECDHE+AESGCM | TLS_AES_256_GCM_SHA384; TLS_AES_128_GCM_SHA256 |
prime256v1:secp384r1:secp521r1 | Sí |
| MANUAL | Cualquiera | Cualquiera | Cualquiera | Cualquiera | No |
Notas:
- Las opciones de configuración admitidas (protocolos, lista de cifrados, conjuntos de cifrados y curvas) representan lo que se admite como máximo.
- El perfil de NIST_2024 solo se aplica a las conexiones entrantes.
- El módulo criptográfico BoringSSL utilizado en vSphere 8.0 Update 3 aún no alcanzó la certificación de FIPS para el uso de TLS 1.3. Como resultado, tanto en ESXi como en vCenter Server, el puerto 443 (proxy inverso) se comunica mediante TLS 1.2. Los perfiles de TLS COMPATIBLE y NIST_2024 no utilizan TLS 1.3 que no sea FIPS.
Se proporcionan los siguientes perfiles de TLS 1.3 de vCenter Server:
- COMPATIBLE: el perfil predeterminado. La asignación exacta de los parámetros de este perfil puede cambiar de una versión a otra, pero se garantiza que el perfil sea compatible con todos los productos y versiones admitidos (versiones N-2 actuales).
- NIST_2024: un perfil más restrictivo que admite específicamente el estándar NIST 2024. Se garantiza que la asignación exacta de parámetros de este perfil cumpla con el estándar NIST 2024 en todas las versiones. Se garantiza que este perfil solo sea compatible con las versiones actuales o más recientes, y no con versiones anteriores.
- COMPATIBLE-NON-FIPS: un perfil modificado que permite una conexión de TLS 1.3 que no es FIPS desde el proxy de Envoy. FIPS no está habilitado.
| Nombre del perfil de TLS | Versiones del protocolo de TLS | Conjuntos de claves de cifrado | Curvas | ¿FIPS está habilitado? | ¿VMware es compatible? |
|---|---|---|---|---|---|
| COMPATIBLE | TLS 1.3 | TLS_AES_256_GCM_SHA384; TLS_AES_128_GCM_SHA256 |
prime256v1:secp384r1:secp521r1 | Sí | Sí |
| TLS 1.2 | ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-GCM-SHA256 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES128-SHA AES256-SHA AES128-SHA |
||||
| NIST_2024 | TLS 1.3 | TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256 | prime256v1:secp384r1:secp521r1 | Sí | Sí |
| TLS 1.2 | ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 |
||||
| COMPATIBLE-NON-FIPS | TLS 1.3 | TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256 | prime256v1:secp384r1:secp521r1 | No | Sí |
| TLS 1.2 | ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-GCM-SHA256 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES128-SHA AES256-SHA AES128-SHA |
Conexiones de TLS, entrantes y salientes en ESXi y vCenter Server
ESXi 8.0 Update 3 admite TLS 1.3 en las conexiones entrantes (servidor) y salientes (cliente). Las conexiones entrantes (servidor) de ESXi son las más prioritarias y en ellas se aplica el perfil NIST_2024 más restrictivo.
Para obtener ESXi, puede utilizar las opciones de configuración COMPATIBLE, NIST_2024 y MANUAL en las conexiones entrantes (servidor). Puede utilizar las opciones de configuración COMPATIBLE y MANUAL en las conexiones salientes (cliente).
Los perfiles de TLS de vCenter Server aplican su configuración a las conexiones entrantes y salientes.
Algunos servicios de vSphere exponen puertos que aceptan conexiones de TLS, mientras que la mayoría de los servicios utilizan el proxy inverso. Todas las conexiones entrantes aceptan TLS 1.2 y TLS 1.3 de forma predeterminada. En este momento, el puerto 443 (proxy inverso) tiene TLS 1.3 deshabilitado y se comunica mediante TLS 1.2. Las conexiones salientes admiten TLS 1.2 y TLS 1.3. Para obtener más información, consulte TLS 1.3 en el puerto 443 en ESXi y FIPS.
Administración del ciclo de vida y TLS
La actualización o la migración de un host de ESXi o un host de vCenter Server a la versión 8.0 Update 3 habilita el perfil de TLS COMPATIBLE de forma predeterminada. vSphere 8.0 Update 3 admite TLS 1.3 y TLS 1.2 para la interoperabilidad mínima de forma inmediata. En el futuro, la actualización a una versión posterior de ESXi o vCenter Server mantendrá el perfil de TLS actual en uso siempre que no se haya retirado dicho perfil.
Al actualizar a una versión nueva, como práctica recomendada, primero establezca el perfil de TLS como COMPATIBLE.
Si realiza ediciones en el nivel de servicio local antes de actualizar a vSphere 8.0 Update 3 después de la actualización, se asignará el perfil COMPATIBLE al host, el cual no refleja dichos cambios. Para que el host refleje esos cambios, utilice el perfil MANUAL. Consulte Cambiar el perfil de TLS de un host ESXi mediante vSphere Client o Cambiar el perfil de TLS de un host ESXi mediante la CLI.
TLS 1.3 en el puerto 443 en ESXi y FIPS
En este momento, vSphere deshabilita TLS 1.3 en el puerto 443. La versión del módulo criptográfico Boring SSL utilizada en vSphere 8.0 Update 3 no cuenta con certificación de FIPS para TLS 1.3. Cuando se utiliza el perfil de TLS COMPATIBLE o NIST_2024, todos los puertos excepto el 443 se comunican mediante TLS 1.3. Por ahora, debido a este problema, el puerto 443 utiliza TLS 1.2.
Para habilitar TLS 1.3 que no es FIPS en el puerto 443, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/92473.
