À partir de vSphere 8.0 Update 2, seul TLS 1.2 est pris en charge, et TLS 1.0 et TLS 1.1 ne peuvent plus être activés. Si vous effectuez une nouvelle installation, une mise à niveau ou une migration, vSphere désactive et n'autorise pas l'activation de TLS 1.0 et de TLS 1.1.

Dans ESXi 8.0 et versions ultérieures, seul TLS 1.2 est pris en charge. ESXi 8.0 et versions supérieures ne prennent plus en charge TLS 1.0 et 1.1, et vous ne pouvez plus activer ces anciennes versions de protocole.

ESXi 8.0 Update 2 introduit la prise en charge initiale de TLS 1.3

L'option scan de l'utilitaire de configuration TLS affiche les versions TLS activées pour chaque service. Reportez-vous à la section Analyser vCenter Server pour les protocoles TLS.

Pour obtenir la liste de tous les ports et protocoles pris en charge dans les produits VMware, y compris vSphere et vSAN, reportez-vous à la section Outil Ports et protocoles de VMware™ à l'adresse https://ports.vmware.com/. Vous pouvez rechercher des ports selon le produit VMware, créer une liste personnalisée de ports et imprimer ou enregistrer des listes de ports.

vCenter Server et Envoy

Dans vSphere 7.0 et versions ultérieures, vCenter Server exécute deux services de proxy inverse :

  • Service de proxy inverse de VMware, rhttpproxy.
  • Envoy

Envoy est un dispositif Edge et un proxy de service Open Source. Envoy est propriétaire du port 443 et toutes les demandes vCenter Server entrantes sont acheminées via Envoy. Dans vSphere 7.0 et versions ultérieures, rhttpproxy sert de serveur de gestion de configuration pour Envoy. Par conséquent, la configuration TLS est appliquée à rhttpproxy, qui à son tour envoie la configuration à Envoy.

Analyser vCenter Server pour les protocoles TLS

Vous pouvez utiliser l'utilitaire de configuration de TLS pour afficher les versions de TLS activées.

L'option scan de l'utilitaire de configuration TLS affiche les versions TLS activées pour chaque service.

Procédure

  1. Connectez-vous au système vCenter Server.
    1. Connectez-vous au dispositif à l'aide de SSH en tant qu'utilisateur avec des privilèges pour exécuter des scripts.
    2. Si l'interpréteur de commandes de dépistage n'est pas actuellement activé, exécutez les commandes suivantes.
      shell.set --enabled true
      shell
  2. Accédez au répertoire VcTlsReconfigurator.
    cd /usr/lib/vmware-TlsReconfigurator/VcTlsReconfigurator
  3. Pour afficher les services pour lesquels TLS est activé et les ports utilisés, exécutez la commande suivante.
    ./reconfigureVc scan