Vous pouvez utiliser l'utilitaire de configuration de TLS pour activer ou désactiver les versions de TLS sur un hôte ESXi. Dans le cadre de ce processus, vous pouvez désactiver TLS 1.0 et activer TLS 1.1 et TLS 1.2. Vous pouvez également désactiver TLS 1.0 et TLS 1.1 et activer uniquement TLS 1.2.

Pour les hôtes ESXi, utilisez un utilitaire différent que pour les autres composants de votre environnement vSphere. L'utilitaire est spécifique à cette version et ne peut pas être utilisé pour une version précédente.

Vous pouvez écrire un script pour configurer plusieurs hôtes.

Conditions préalables

Assurez-vous que les produits ou les services associés à l'hôte ESXi peuvent communiquer à l'aide de TLS 1.1 ou TLS 1.2. Pour les produits qui communiquent uniquement à l'aide de TLS 1.0, la connectivité est perdue.

Procédure

  1. Connectez-vous au système vCenter Server avec le nom d'utilisateur et le mot de passe de l'utilisateur vCenter Single Sign-On vCenter qui peut exécuter des scripts.
  2. Accédez au répertoire dans lequel se trouve le script.
    SE Commande
    Windows
    cd %VMWARE_CIS_HOME%\TlsReconfigurator\EsxTlsReconfigurator
    Linux
    cd /usr/lib/vmware-TlsReconfigurator/EsxTlsReconfigurator
  3. Pour un hôte ESXi qui fait partie d'un cluster, exécutez l'une des commandes suivantes.
    • Pour désactiver TLS 1.0 et activer TLS 1.1 et 1.2 sur tous les hôtes d'un cluster, exécutez la commande suivante.
      SE Commande
      Windows
      reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.1 TLSv1.2
      Linux
      ./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.1 TLSv1.2
    • Pour désactiver TLS 1.0 et TLS 1.1 et activer uniquement TLS 1.2 sur tous les hôtes d'un cluster, exécutez la commande suivante.
      SE Commande
      Windows
      reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.2
      Linux
      ./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.2
  4. Pour un hôte individuel qui ne fait pas partie d'un cluster, exécutez l'une des commandes suivantes.
    • Pour désactiver TLS 1.0 et activer TLS 1.1 et TLS 1.2 sur un hôte individuel, exécutez la commande suivante.
      SE Commande
      Windows
      reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.1 TLSv1.2
      Linux
      ./reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.1 TLSv1.2
    • Pour désactiver TLS 1.0 et TLS 1.1 et activer uniquement TLS 1.2 sur un hôte individuel, exécutez la commande suivante.
      SE Commande
      Windows
      reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.2
      Linux
      ./reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.2
      Note : Pour configurer un hôte ESXi autonome, connectez-vous à un système vCenter Server et exécutez la commande reconfigureEsx avec les options ESXiHost -h HOST -u ESXi_USER. Pour l'option HOST, vous pouvez spécifier l'adresse IP ou le nom de domaine complet d'un hôte ESXi unique, ou une liste d'adresses IP d'hôte ou de noms de domaine complets. Par exemple, la connexion à une instance de vCenter Server et l'exécution de la commande suivante activent TLS 1.1 et TLS 1.2 sur deux hôtes ESXi :
      ./reconfigureEsx ESXiHost -h 198.51.100.2 198.51.100.3 -u root -p TLSv1.1 TLSv1.2

      Sinon, pour reconfigurer un hôte ESXi autonome, vous pouvez vous connecter à l'hôte et modifier le paramètre avancé UserVars.ESXiVPsDisabledProtocols. Pour plus d'informations, consultez la rubrique intitulée « Configurer les options de clé TLS/SSL avancées » dans la documentation de Gestion individuelle des hôtes vSphere - VMware Host Client.

  5. Redémarrez l'hôte ESXi pour terminer les modifications du protocole TLS.