Administrar TLS de vSphere

A partir de vSphere 8.0 Update 3 puede administrar perfiles de TLS para ESXi mediante vSphere Client, los comandos esxcli o las API. En vCenter Server, los perfiles de TLS se administran mediante las API.

Si utiliza vSphere Configuration Profiles, puede administrar la configuración de TLS para los hosts de ESXi en el nivel de clúster de vLCM. Puede cambiar la configuración de TLS para el clúster y corregir el clúster con esta nueva configuración. Para obtener más información, consulte el capítulo sobre la administración de vSphere Configuration Profiles en la documentación de Administración del ciclo de vida de hosts y clústeres.

Para hosts ESXi independientes y clústeres que no sean de vLCM, debe administrar el perfil de TLS mediante comandos esxcli. Consulte la documentación de Conceptos y ejemplos de ESXCLI y la ayuda en línea de esxcli.

En este momento, solo puede administrar perfiles de TLS de vCenter Server mediante las API. Consulte la Guía de programación de vSphere Automation SDK y la Guía de programación de vSphere Automation REST API.

Ver el perfil de TLS de un host ESXi mediante el vSphere Client

Puede utilizar el vSphere Client para ver el perfil de TLS de un host ESXi que forma parte de un clúster de vLCM.

En vSphere Configuration Profiles, los ajustes que no están configurados explícitamente utilizan los valores predeterminados del perfil adecuado. Para los perfiles TLS, el valor predeterminado es COMPATIBLE.

Para ver el perfil de TLS de un host ESXi de un clúster independiente o que no sea vLCM, consulte Ver el perfil de TLS de un host ESXi mediante la CLI.

Requisitos previos

Habilitó vSphere Configuration Profiles y creó una configuración de borrador para el clúster. Consulte la documentación de Administración del ciclo de vida de hosts y clústeres.

Procedimiento

En vSphere Client, desplácese hasta el clúster vLCM que administre con una sola imagen.
En la pestaña Configurar, haga clic en Estado deseado > Configuración.
En la pestaña Configuración, haga clic en sistema.
Haga clic en tls_client o tls_server para ver qué perfil de TLS está definido en el documento de configuración actual deseado.

Ver el perfil de TLS de un host ESXi mediante la CLI

Puede usar la CLI para ver el perfil de TLS configurado actualmente de un host ESXi.

Para hosts ESXi independientes y clústeres que no sean de vLCM, debe administrar el perfil de TLS mediante comandos esxcli. Para obtener más información, consulte Referencia de ESXCLI. Para los hosts ESXi en un clúster de vLCM, puede utilizar vSphere Configuration Profiles o los comandos esxcli.

Requisitos previos

Habilite SSH o ESXi Shell en el host ESXi.

Procedimiento

Conéctese al host ESXi.
Puede usar SSH o ESXi Shell.
Para ver el perfil de TLS configurado actualmente, ejecute el siguiente comando.
```
esxcli system tls [client | server] get
```
Para ver los parámetros en el perfil de TLS configurado actualmente, ejecute el siguiente comando:
```
esxcli system tls [client | server] get --show-profile-defaults
```

Cambiar el perfil de TLS de un host ESXi mediante vSphere Client

Puede cambiar el perfil de TLS de un host ESXi. El perfil de TLS predeterminado es COMPATIBLE.

Requisitos previos

Habilitó vSphere Configuration Profiles y creó una configuración de borrador para el clúster. Consulte la documentación de Administración del ciclo de vida de hosts y clústeres.

Procedimiento

En vSphere Client, desplácese hasta un clúster que administre con una sola imagen.
En la pestaña Configurar, haga clic en Estado deseado > Configuración.
En la pestaña Configuración, haga clic en sistema.
Haga clic en tls_client o en tls_server.
Según si la configuración se modificó anteriormente, haga clic en Configurar ajustes o en Editar.
Seleccione el perfil de TLS en el menú desplegable.
Haga clic en Guardar.
Corrija el clúster según la configuración de borrador.
1. Para corregir el clúster según la configuración de borrador, en la pestaña Borrador, haga clic en Aplicar cambios.
2. Siga los pasos del asistente Corregir. Para obtener más información, consulte la documentación sobre Administración del ciclo de vida de hosts y clústeres.

Resultados

Todos los hosts ESXi del clúster cumplen con la configuración deseada.

Cambiar el perfil de TLS de un host ESXi mediante la CLI

Puede cambiar el perfil de TLS de un host ESXi. El perfil de TLS predeterminado es COMPATIBLE.

Requisitos previos

Habilite SSH o ESXi Shell en el host ESXi.

Procedimiento

Conéctese al host ESXi.
Puede usar SSH o ESXi Shell.
Ponga el host ESXi en modo de mantenimiento.
Para cambiar el perfil de TLS, ejecute el siguiente comando.
```
esxcli system tls [client | server] set --profile [COMPATIBLE | NIST_2024 | MANUAL]
```
Nota: Si desea realizar cambios en los parámetros de TLS (ya sea en el nivel del sistema o en el nivel de servicio), seleccione el perfil MANUAL.
Reinicie el host ESXi para que se apliquen los cambios.
Una vez que se reinicie el host ESXi, sáquelo del modo de mantenimiento.

Editar los parámetros del perfil de TLS MANUAL mediante el uso de la CLI

Puede editar el conjunto de parámetros del perfil de TLS MANUAL. Para cambiar los parámetros de TLS, como la lista de cifrado y el paquete de claves de cifrado, primero debe configurar el perfil de TLS en MANUAL.

Advertencia: Broadcom no es compatible con el perfil de TLS MANUAL. Solo se admiten los perfiles de TLS COMPATIBLE y NIST_2024. Utilice el perfil de TLS MANUAL bajo su propia responsabilidad.

Debe administrar los parámetros del perfil de TLS MANUAL mediante los comandos esxcli. La administración de los parámetros del perfil de TLS MANUAL no está integrada con vSphere Configuration Profiles.

No se pueden establecer parámetros TLS para servicios de vSphere individuales. Los cambios que realice mediante el perfil de TLS MANUAL se aplicarán en el nivel del sistema.

Requisitos previos

Habilite SSH o ESXi Shell en el host ESXi.

Cambie el perfil de TLS a MANUAL. Consulte Cambiar el perfil de TLS de un host ESXi mediante vSphere Client o Cambiar el perfil de TLS de un host ESXi mediante la CLI.

Procedimiento

Conéctese al host ESXi.
Puede usar SSH o ESXi Shell.
Ponga el host ESXi en modo de mantenimiento.
Asegúrese de que el perfil de TLS sea MANUAL.
```
esxcli system tls [client | server] get
```

Para cambiar los parámetros, ejecute cualquiera de los siguientes comandos.

esxcli system tls [client | server] set --cipher-list=str
esxcli system tls [client | server] set --cipher-suite=str
esxcli system tls [client | server] set --groups=str
esxcli system tls [client | server] set --protocol-versions=str

donde str es una cadena en estilo OpenSSL que está delimitada por dos puntos, comas o espacios. Por ejemplo: --cipher-list=ECDHE+AESGCM:ECDHE+AES

Para obtener más información, ejecute el siguiente comando:

esxcli system tls [client | server] set --help

Reinicie el host ESXi para que se apliquen los cambios.
Una vez que se reinicie el host ESXi, sáquelo del modo de mantenimiento.

Ejemplo

En el siguiente ejemplo, primero se establece el perfil de TLS en MANUAL y, a continuación, se establece un conjunto más restrictivo de curvas (grupos). Es necesario reiniciar para que se apliquen los cambios.

[root@host1] esxcli system tls server get
   Profile: COMPATIBLE
   Cipher List: <profile default>
   Cipher Suite: <profile default>
   Groups: <profile default>
   Protocol Versions: <profile default>
   Reboot Required: false
[root@host1] esxcli system tls server set --profile MANUAL
[root@host1] esxcli system tls server get
   Profile: MANUAL
   Cipher List: ECDHE+AESGCM:ECDHE+AES
   Cipher Suite: TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384
   Groups: prime256v1:secp384r1:secp521r1
   Protocol Versions: tls1.2,tls1.3
   Reboot Required: true
[root@host1] esxcli system tls server set --groups=prime256v1:secp384r1
[root@host1] esxcli system tls server get
   Profile: MANUAL
   Cipher List: TLS_AES_128_CCM_SHA256
   Cipher Suite: TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384
   Groups: prime256v1:secp384r1
   Protocol Versions: tls1.2,tls1.3
   Reboot Required: true

Administrar el perfil de TLS de un host de vCenter Server

Debe utilizar las API para ver y cambiar el perfil de TLS de un host de vCenter Server.

Puede utilizar varias formas de ejecutar solicitudes HTTP. Esta tarea muestra cómo utilizar el Centro para desarrolladores en vSphere Client a fin de administrar perfiles de TLS. Consulte la Guía de programación de administración de VMware vCenter Server para obtener más información sobre el uso de las API a fin de administrar vCenter Server Appliance.

Procedimiento

Inicie sesión en el sistema vCenter Server mediante vSphere Client.
En el menú, seleccione Centro para desarrolladores.
Haga clic en API Explorer.

En el menú desplegable Seleccionar API, elija dispositivo.

Las siguientes categorías y acciones de API están disponibles.

Tabla 1. API de TLS de vCenter Server
Opción	Categoría de API	Acción asociada
Obtiene la lista de todos los perfiles de TLS y su configuración.	tls/profiles/	GET
Obtiene los parámetros de un perfil de TLS específico.	tls/profiles/{id}	GET
Obtiene el nombre del perfil de TLS actual configurado de manera global.	tls/profiles/global/	GET
Establece uno de los perfiles estándar que se especifica de manera global.	tls/profiles/global/	PUT Nota: Esta acción reinicia los servicios de vCenter Server.
Obtiene los parámetros del perfil de TLS actual configurado de manera global.	tls/manual-parameters/global	GET

Nota: En este momento, no se pueden modificar los parámetros de un perfil de TLS de vCenter Server.

Ejecute el comando deseado.