Lorsque vous exécutez l'utilitaire TLS Configurator dans l'environnement vSphere, vous pouvez désactiver TLS sur les différents ports utilisant TLS sur les hôtes vCenter Server et ESXi. Vous pouvez désactiver TLS 1.0, ou TLS 1.0 et TLS 1.1.
À partir de vSphere 7.0, vCenter Server exécute deux services de proxy inverse :
- Service de proxy inverse de VMware,
rhttpproxy
. - Envoy
Envoy est un dispositif Edge et un proxy de service Open Source. Envoy est propriétaire du port 443 et toutes les demandes vCenter Server entrantes sont acheminées via Envoy. Dans vSphere 7.0, rhttpproxy
sert de serveur de gestion de configuration pour Envoy. Par conséquent, la configuration TLS est appliquée à rhttpproxy
, qui à son tour envoie la configuration à Envoy.
vCenter Server et ESXi utilisent des ports pouvant être activés ou désactivés pour les protocoles TLS. L'option scan
de l'utilitaire de configuration TLS affiche les versions TLS activées pour chaque service. Reportez-vous à la section Analyser vCenter Server pour les protocoles TLS activés.
Pour obtenir la liste de tous les ports et protocoles pris en charge dans les produits VMware, y compris vSphere et vSAN, reportez-vous à la section Outil Ports et protocoles de VMware™ à l'adresse https://ports.vmware.com/. Vous pouvez rechercher des ports selon le produit VMware, créer une liste personnalisée de ports et imprimer ou enregistrer des listes de ports.
Notes et mises en garde
- La version vSphere 6.7 était la version finale de vCenter Server pour Windows. Consultez la documentation Sécurité vSphere pour la version 6.7 du produit afin d'obtenir plus d'informations sur la reconfiguration de TLS pour les ports Update Manager sur vCenter Server pour Windows.
- Vous pouvez utiliser TLS 1.2 pour chiffrer la connexion entre l'instance de vCenter Server et un serveur Microsoft SQL Server externe. Vous ne pouvez pas utiliser une connexion TLS 1.2 unique pour la base de données Oracle externe. Consultez l'article de la base de connaissances de VMware à l'adresse https://kb.vmware.com/kb/2149745.
- Pour vSphere 6.7 et les versions antérieures, ne désactivez pas TLS 1.0 sur une instance vCenter Server ou Platform Services Controller qui s'exécute sous Windows Server 2008. Windows 2008 prend en charge uniquement TLS 1.0. Reportez-vous à l'article de Microsoft TechNet sur les paramètres TLS/SSL dans le document Server Roles and Technologies Guide.
- Si vous modifiez les protocoles TLS, vous devez redémarrer l'hôte ESXi pour appliquer les modifications. Vous devez redémarrer l'hôte, même si vous appliquez les modifications via la configuration du cluster à l'aide des profils d'hôte. Vous pouvez choisir de redémarrer l'hôte immédiatement ou de reporter le redémarrage à un moment plus commode.