Vous pouvez utiliser l'utilitaire de configuration de TLS pour activer ou désactiver les versions de TLS sur un hôte ESXi. Dans le cadre de ce processus, vous pouvez désactiver TLS 1.0 et activer TLS 1.1 et TLS 1.2. Vous pouvez également désactiver TLS 1.0 et TLS 1.1 et activer uniquement TLS 1.2.
Pour les hôtes ESXi, utilisez un utilitaire différent que pour les autres composants de votre environnement vSphere. L'utilitaire est spécifique à cette version et ne peut pas être utilisé pour une version précédente.
Vous pouvez écrire un script pour configurer plusieurs hôtes.
Conditions préalables
Assurez-vous que les produits ou les services associés à l'hôte ESXi peuvent communiquer à l'aide de TLS 1.1 ou TLS 1.2. Pour les produits qui communiquent uniquement à l'aide de TLS 1.0, la connectivité est perdue.
Le shell Bash doit être activé sur vCenter Server Appliance.
Procédure
- Utilisez SSH pour vous connecter au vCenter Server Appliance avec le nom et le mot de passe de l'utilisateur vCenter Single Sign-On qui peut exécuter des scripts.
- Pour activer le shell Bash, entrez shell dans la ligne de commande.
- Accédez au répertoire dans lequel se trouve le script.
cd /usr/lib/vmware-TlsReconfigurator/EsxTlsReconfigurator
- Pour un hôte ESXi qui fait partie d'un cluster, exécutez l'une des commandes suivantes.
- Pour désactiver TLS 1.0 et activer TLS 1.1 et 1.2 sur tous les hôtes d'un cluster, exécutez la commande suivante.
./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.1 TLSv1.2
- Pour désactiver TLS 1.0 et TLS 1.1 et activer uniquement TLS 1.2 sur tous les hôtes d'un cluster, exécutez la commande suivante.
./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.2
- Pour un hôte individuel qui ne fait pas partie d'un cluster, exécutez l'une des commandes suivantes.
- Pour désactiver TLS 1.0 et activer TLS 1.1 et TLS 1.2 pour un hôte individuel, exécutez la commande suivante.
./reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.1 TLSv1.2
- Pour désactiver TLS 1.0 et TLS 1.1 et activer uniquement TLS 1.2 pour un hôte individuel, exécutez la commande suivante.
./reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.2
Note : Pour configurer un hôte
ESXi autonome, connectez-vous à un système
vCenter Server et exécutez la commande
reconfigureEsx
avec les options
ESXiHost
-h
HOST
-u
ESXi_USER. Pour l'option
HOST, vous pouvez spécifier l'adresse IP ou le nom de domaine complet d'un hôte
ESXi unique, ou une liste d'adresses IP d'hôte ou de noms de domaine complets. Par exemple, la connexion à une instance de
vCenter Server et l'exécution de la commande suivante activent TLS 1.1 et TLS 1.2 sur deux hôtes
ESXi :
./reconfigureEsx ESXiHost -h 198.51.100.2 198.51.100.3 -u root -p TLSv1.1 TLSv1.2
Sinon, pour reconfigurer un hôte ESXi autonome, vous pouvez vous connecter à l'hôte et modifier le paramètre avancé UserVars.ESXiVPsDisabledProtocols. Pour plus d'informations, consultez la rubrique intitulée « Configurer les options de clé TLS/SSL avancées » dans la documentation de Gestion individuelle des hôtes vSphere - VMware Host Client.
- Redémarrez l'hôte ESXi pour terminer les modifications du protocole TLS.