Vous pouvez utiliser l'utilitaire de configuration de TLS pour activer ou désactiver les versions de TLS sur un hôte ESXi. Dans le cadre de ce processus, vous pouvez désactiver TLS 1.0 et activer TLS 1.1 et TLS 1.2. Vous pouvez également désactiver TLS 1.0 et TLS 1.1 et activer uniquement TLS 1.2.
Pour les hôtes ESXi, utilisez un utilitaire différent que pour les autres composants de votre environnement vSphere. L'utilitaire est spécifique à cette version et ne peut pas être utilisé pour une version précédente.
Vous pouvez écrire un script pour configurer plusieurs hôtes.
Conditions préalables
Assurez-vous que les produits ou les services associés à l'hôte ESXi peuvent communiquer à l'aide de TLS 1.1 ou TLS 1.2. Pour les produits qui communiquent uniquement à l'aide de TLS 1.0, la connectivité est perdue.
Procédure
- Connectez-vous au système vCenter Server avec le nom d'utilisateur et le mot de passe de l'utilisateur vCenter Single Sign-On vCenter qui peut exécuter des scripts.
- Accédez au répertoire dans lequel se trouve le script.
| SE |
Commande |
| Windows |
cd %VMWARE_CIS_HOME%\TlsReconfigurator\EsxTlsReconfigurator |
| Linux |
cd /usr/lib/vmware-TlsReconfigurator/EsxTlsReconfigurator |
- Pour un hôte ESXi qui fait partie d'un cluster, exécutez l'une des commandes suivantes.
- Pour désactiver TLS 1.0 et activer TLS 1.1 et 1.2 sur tous les hôtes d'un cluster, exécutez la commande suivante.
| SE |
Commande |
| Windows |
reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.1 TLSv1.2 |
| Linux |
./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.1 TLSv1.2 |
- Pour désactiver TLS 1.0 et TLS 1.1 et activer uniquement TLS 1.2 sur tous les hôtes d'un cluster, exécutez la commande suivante.
| SE |
Commande |
| Windows |
reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.2 |
| Linux |
./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.2 |
- Pour un hôte individuel qui ne fait pas partie d'un cluster, exécutez l'une des commandes suivantes.
- Pour désactiver TLS 1.0 et activer TLS 1.1 et TLS 1.2 sur un hôte individuel, exécutez la commande suivante.
| SE |
Commande |
| Windows |
reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.1 TLSv1.2 |
| Linux |
./reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.1 TLSv1.2 |
- Pour désactiver TLS 1.0 et TLS 1.1 et activer uniquement TLS 1.2 sur un hôte individuel, exécutez la commande suivante.
| SE |
Commande |
| Windows |
reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.2 |
| Linux |
./reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.2 |
Note : Pour configurer un hôte
ESXi autonome, connectez-vous à un système
vCenter Server et exécutez la commande
reconfigureEsx avec les options
ESXiHost
-h
HOST
-u
ESXi_USER. Pour l'option
HOST, vous pouvez spécifier l'adresse IP ou le nom de domaine complet d'un hôte
ESXi unique, ou une liste d'adresses IP d'hôte ou de noms de domaine complets. Par exemple, la connexion à une instance de
vCenter Server et l'exécution de la commande suivante activent TLS 1.1 et TLS 1.2 sur deux hôtes
ESXi :
./reconfigureEsx ESXiHost -h 198.51.100.2 198.51.100.3 -u root -p TLSv1.1 TLSv1.2
Sinon, pour reconfigurer un hôte ESXi autonome, vous pouvez vous connecter à l'hôte et modifier le paramètre avancé UserVars.ESXiVPsDisabledProtocols. Pour plus d'informations, consultez la rubrique intitulée « Configurer les options de clé TLS/SSL avancées » dans la documentation de Gestion individuelle des hôtes vSphere - VMware Host Client.
- Redémarrez l'hôte ESXi pour terminer les modifications du protocole TLS.
