Configuration de vSphere TLS

À partir de 8.0 Update 3, vSphere prend en charge TLS 1.3 et 1.2 via l'utilisation de profils TLS. Les profils TLS simplifient la tâche d'administration des paramètres TLS et améliorent également la capacité de prise en charge.

vSphere 8.0 Update 3 active le profil TLS par défaut, nommé COMPATIBLE, sur les hôtes ESXi et vCenter Server. Le profil COMPATIBLE prend en charge TLS 1.3 et certaines connexions TLS 1.2.

Vous pouvez gérer des profils TLS sur des hôtes ESXi à l'aide de vSphere Configuration Profiles ou de commandes esxcli. Sur des hôtes vCenter Server, vous pouvez gérer les profils TLS à l'aide des API. Par exemple, vous pouvez utiliser le Centre de développeurs dans vSphere Client. Reportez-vous au Guide de programmation des vSphere Automation SDK et au Guide de programmation de REST API vSphere Automation.

vCenter Server et Envoy

vCenter Server exécute deux services de proxy inverse :

Service de proxy inverse de VMware, rhttpproxy.
Envoy

Envoy est un dispositif Edge et un proxy de service Open Source. Envoy est propriétaire du port 443 et toutes les demandes vCenter Server entrantes sont acheminées via Envoy. Le rhttpproxy sert de serveur de gestion de configuration pour Envoy. Par conséquent, la configuration TLS est appliquée à rhttpproxy, qui à son tour envoie la configuration à Envoy.

Comment vSphere implémente TLS à l'aide de profils TLS

vSphere 8.0 Update 3 implémente TLS 1.3 en regroupant les paramètres, notamment les versions de protocole, les groupes (également appelés courbes) et les chiffrements en un seul profil TLS. Ce profil TLS est appliqué à l'échelle du système. L'utilisation d'un profil TLS unique facilite la surcharge administrative de vos hôtes. Vous n'avez plus besoin de configurer manuellement des paramètres TLS individuels, bien que cette capacité soit toujours disponible si nécessaire. Les profils TLS améliorent également considérablement la prise en charge. Le regroupement des paramètres en profils TLS simplifie l'ensemble des solutions TLS vérifiées par VMware à choisir. Sur ESXi, les profils TLS sont intégrés à vSphere Configuration Profiles.

Les profils TLS ESXi suivants sont fournis :

COMPATIBLE : profil par défaut. Le mappage exact des paramètres dans ce profil peut être modifié d'une version à l'autre, mais le profil est garanti pour être compatible avec tous les produits et versions pris en charge (actuellement les versions N-2). Autrement dit, un hôte ESXi de la version N à l'aide du profil COMPATIBLE peut communiquer avec un hôte de la version N-2.
NIST_2024 : profil plus restrictif qui prend spécifiquement en charge la norme NIST 2024. Le mappage exact des paramètres dans ce profil est garanti pour répondre à la norme NIST 2024 pour l'ensemble des versions. Ce profil est garanti pour être compatible uniquement avec les versions actuelles ou plus récentes, et non avec les versions antérieures.
MANUEL : utilisez ce profil pour créer et tester une configuration ad hoc dans laquelle vous fournissez manuellement les paramètres TLS. Il n'est pas garanti qu'un profil MANUEL fonctionne sans erreur. Vous devez tester un profil MANUEL, y compris lors des mises à niveau logicielles. Lorsque vous choisissez d'utiliser le profil MANUEL, le comportement du système est d'abord défini par défaut sur le profil précédemment sélectionné (COMPATIBLE ou NIST_2024) et demeure le même jusqu'à ce que vous apportiez des modifications. Vous devez utiliser des commandes esxcli pour gérer le profil MANUAL TLS. Consultez le texte d'aide fourni avec esxcli pour plus d'informations sur la modification des paramètres dans un profil MANUAL TLS.

Lors de la configuration du profil TLS à l'état souhaité, vous devez redémarrer l'hôte ESXi ou corriger le cluster vLCM dans lequel réside l'hôte ESXi pour appliquer les modifications.

Les tableaux suivants affichent les détails des profils TLS pour ESXi et vCenter Server dans vSphere 8.0 Update 3. La colonne Liste de chiffrements affiche les chiffrements TLS pour les protocoles TLS 1.2 et versions antérieures. La colonne Suites de chiffrement affiche les chiffrements du protocole TLS 1.3.

Tableau 1. Profils ESXi TLS 1.3
Nom du profil TLS	Versions du protocole TLS	Liste de chiffrement	Suites de chiffrement	Courbes	VMware pris en charge ?
COMPATIBLE	TLS 1.3 et TLS 1.2	ECDHE+AESGCM:ECDHE+AES	TLS_AES_256_GCM_SHA384 ; TLS_AES_128_GCM_SHA256	prime256v1:secp384r1:secp521r1	Oui
NIST_2024	TLS 1.3 et TLS 1.2	ECDHE+AESGCM	TLS_AES_256_GCM_SHA384 ; TLS_AES_128_GCM_SHA256	prime256v1:secp384r1:secp521r1	Oui
MANUAL	Toutes	Toutes	Toutes	Toutes	Non

Remarques :

Les paramètres pris en charge (protocoles, liste de chiffrements, suites de chiffrement et courbes) représentent au maximum ce qui est pris en charge.
Le profil NIST_2024 s'applique uniquement aux connexions entrantes.
Le module de chiffrement BoringSSL utilisé dans vSphere 8.0 Update 3 n'a pas encore atteint la certification FIPS pour l'utilisation de TLS 1.3. Par conséquent, sur ESXi et vCenter Server, le port 443 (proxy inverse) communique à l'aide de TLS 1.2. Les profils TLS COMPATIBLE et NIST_2024 n'utilisent pas TLS 1.3 non-FIPS.

Les profils TLS 1.3 vCenter Server suivants sont fournis :

COMPATIBLE : profil par défaut. Le mappage exact des paramètres dans ce profil peut être modifié d'une version à l'autre, mais le profil est garanti pour être compatible avec tous les produits et versions pris en charge (actuellement les versions N-2).
NIST_2024 : profil plus restrictif qui prend spécifiquement en charge la norme NIST 2024. Le mappage exact des paramètres dans ce profil est garanti pour répondre à la norme NIST 2024 pour l'ensemble des versions. Ce profil est garanti pour être compatible uniquement avec les versions actuelles ou plus récentes, et non avec les versions antérieures.
COMPATIBLE-NON-FIPS : profil modifié qui autorise une connexion TLS 1.3 non-FIPS à partir du proxy Envoy. FIPS n'est pas activé.

Tableau 2. Profils vCenter Server TLS 1.3
Nom du profil TLS	Versions du protocole TLS	Suites de chiffrement	Courbes	FIPS activé ?	VMware pris en charge ?
COMPATIBLE	TLS 1.3	TLS_AES_256_GCM_SHA384 ; TLS_AES_128_GCM_SHA256	prime256v1:secp384r1:secp521r1	Oui	Oui
COMPATIBLE	TLS 1.2	ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-GCM-SHA256 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES128-SHA AES256-SHA AES128-SHA	prime256v1:secp384r1:secp521r1	Oui	Oui
NIST_2024	TLS 1.3	TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256	prime256v1:secp384r1:secp521r1	Oui	Oui
NIST_2024	TLS 1.2	ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256	prime256v1:secp384r1:secp521r1	Oui	Oui
COMPATIBLE-NON-FIPS	TLS 1.3	TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256	prime256v1:secp384r1:secp521r1	Non	Oui
COMPATIBLE-NON-FIPS	TLS 1.2	ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-GCM-SHA256 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES128-SHA AES256-SHA AES128-SHA	prime256v1:secp384r1:secp521r1	Non	Oui

Connexions TLS entrantes et sortantes dans ESXi et vCenter Server

ESXi 8.0 Update 3 prend en charge TLS 1.3 sur les connexions entrantes (serveur) et sortantes (client). Les connexions ESXi entrantes (serveur) sont les plus importantes et s'appliquent lorsque le profil NIST_2024 le plus restrictif s'applique.

Pour ESXi, vous pouvez utiliser les paramètres COMPATIBLE, NIST_2024 et MANUAL sur les connexions entrantes (serveur). Vous pouvez utiliser les paramètres COMPATIBLE et MANUAL sur les connexions sortantes (client).

Les profils TLS vCenter Server appliquent leurs paramètres aux connexions entrantes et sortantes.

Certains services vSphere exposent les ports qui acceptent les connexions TLS, tandis que la plupart des services utilisent le proxy inverse. Toutes les connexions entrantes acceptent TLS 1.2 et TLS 1.3 par défaut. Actuellement, TLS 1.3 est désactivé sur le port 443 (proxy inverse) et communique à l'aide de TLS 1.2. Les connexions sortantes prennent en charge TLS 1.2 et TLS 1.3. Pour plus d'informations, reportez-vous à la section TLS 1.3 sur le port 443 dans ESXi et FIPS.

TlS et gestion du cycle de vie

La mise à niveau ou la migration d'un hôte ESXi ou d'un hôte vCenter Server vers la version 8.0 Update 3 active le profil COMPATIBLE TLS par défaut. vSphere 8.0 Update 3 prend en charge TLS 1.3 et TLS 1.2 pour une interopérabilité minimale simple prête à l'emploi. À l'avenir, la mise à niveau vers une version ultérieure d'ESXi ou de vCenter Server conserve le profil TLS actuel utilisé tant que ce profil n'a pas été retiré.

Lors de la mise à niveau vers une nouvelle version, il est recommandé de définir d'abord le profil TLS sur COMPATIBLE.

Si vous apportez des modifications au niveau du service local avant la mise à niveau vers vSphere 8.0 Update 3, après la mise à niveau, le profil COMPATIBLE est attribué à l'hôte, qui ne reflète pas ces modifications. Pour que l'hôte reflète ces modifications, passez au profil MANUAL. Voir Modifier le profil TLS d'un hôte ESXi à l'aide de vSphere Client ou Modifier le profil TLS d'un hôte ESXi à l'aide de la CLI.

Avertissement : Il n'est pas garanti que le profil MANUAL TLS fonctionne sans erreur lors des mises à niveau. Vous devez vérifier qu'un profil MANUAL TLS modifié fonctionne d'une version à une autre ou basculer vers le profil COMPATIBLE TLS.

TLS 1.3 sur le port 443 dans ESXi et FIPS

Actuellement, vSphere désactive TLS 1.3 sur le port 443. La version du module de chiffrement SSL ennuyeux utilisé dans vSphere 8.0 Update 3 n'est pas certifiée FIPS pour TLS 1.3. Lorsque vous utilisez le profil TLS COMPATIBLE ou NIST_2024, tous les ports à l'exception du port 443 communiquent par TLS 1.3. Pour le moment, en raison de ce problème, le port 443 utilise TLS 1.2.

Pour activer TLS 1.3 non-FIPS sur le port 443, reportez-vous à l'article de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/92473.