Vous pouvez utiliser l'utilitaire de configuration de TLS pour désactiver les versions TLS sur un hôte ESXi. Dans le cadre du processus, vous pouvez activer TLS 1.1 et TLS 1.2, ou uniquement TLS 1.2.
Pour les hôtes ESXi, utilisez un script différent que pour les autres composants de votre environnement vSphere.
Note : Le script désactive TLS 1.0 et 1.1, sauf si vous spécifiez l'option
-p.
Pour afficher les versions de TLS actuelles, vous pouvez vous connecter à un hôte ESXi et exécuter des commandes openssl
semblables aux commandes suivantes :
openssl s_client -tls1 -connect localhost:443 | head -5
openssl s_client -tls1_1 -connect localhost:443 | head -5
openssl s_client -tls1_2 -connect localhost:443 | head -5
Conditions préalables
Assurez-vous que les produits ou les services associés à l'hôte ESXi peuvent communiquer à l'aide de TLS 1.1 ou TLS 1.2. Pour les produits qui communiquent uniquement à l'aide de TLS 1.0, la connectivité est perdue.
Cette procédure explique comment effectuer cette tâche sur un hôte unique. Vous pouvez écrire un script pour configurer plusieurs hôtes.
Procédure
- Connectez-vous au système vCenter Server avec le nom d'utilisateur et le mot de passe de l'utilisateur vCenter Single Sign-On vCenter qui peut exécuter des scripts.
- Accédez au répertoire dans lequel se trouve le script.
SE |
Commande |
Windows |
cd ..\EsxTlsReconfigurator |
Linux |
cd ../EsxTlsReconfigurator |
- Sur un hôte qui fait partie d'un cluster, exécutez l'une des commandes suivantes.
- Pour désactiver TLS 1.0 et activer TLS 1.1 et 1.2 sur tous les hôtes d'un cluster, exécutez la commande suivante.
SE |
Commande |
Windows |
reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.1 TLSv1.2 |
Linux |
./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.1 TLSv1.2 |
- Pour désactiver TLS 1.0 et TLS 1.1 et activer uniquement TLS 1.2 sur tous les hôtes d'un cluster, exécutez la commande suivante.
SE |
Commande |
Windows |
reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.2 |
Linux |
./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.2 |
- Sur un hôte individuel, exécutez l'une des commandes suivantes.
- Pour désactiver TLS 1.0 et activer TLS 1.1 et TLS 1.2 sur un hôte individuel, exécutez la commande suivante.
SE |
Commande |
Windows |
reconfigureEsx vCenterHost -h <ESXi_Host_Name> -u Administrative_User -p TLSv1.1 TLSv1.2 |
Linux |
./reconfigureEsx vCenterHost -h <ESXi_Host_Name> -u Administrative_User -p TLSv1.1 TLSv1.2 |
Note : Pour reconfigurer un hôte
ESXi autonome (ne faisant pas partie d'un système
vCenter Server), utilisez l'option
ESXiHost
-h
HOST
-u
ESXi_USER. Pour l'option
HOST, vous pouvez spécifier l'adresse IP ou le nom de domaine complet d'un hôte
ESXi unique, ou une liste d'adresses IP d'hôte ou de noms de domaine complets. Par exemple, pour activer TLS 1.1 et TLS 1.2 sur deux hôtes
ESXi :
reconfigureEsx ESXiHost -h 198.51.100.2 198.51.100.3 -u root -p TLSv1.1 TLSv1.2
- Pour désactiver TLS 1.0 et TLS 1.1 et activer uniquement TLS 1.2 sur un hôte individuel, exécutez la commande suivante.
SE |
Commande |
Windows |
reconfigureEsx vCenterHost -h <ESXi_Host_Name> -u Administrative_User -p TLSv1.2 |
Linux |
./reconfigureEsx vCenterHost -h <ESXi_Host_Name> -u Administrative_User -p TLSv1.2 |
- Redémarrez l'hôte ESXi pour terminer les modifications du protocole TLS.