vSphere active uniquement TLS par défaut. TLS 1.0 et TLS 1.1 sont désactivés par défaut. Si vous effectuez une nouvelle installation, une mise à niveau ou une migration, vSphere désactive TLS 1.0 et 1.1. Vous pouvez utiliser l'utilitaire TLS Configurator pour activer temporairement les versions antérieures du protocole sur les systèmes vCenter Server. Vous pouvez ensuite désactiver les anciennes versions moins sécurisées, une fois que toutes les connexions utilisent TLS 1.2.

À partir de ESXi 8.0, seul TLS 1.2 est pris en charge. ESXi 8.0 ne prend plus en charge TLS 1.0 et 1.1 et vous ne pouvez plus activer ces anciennes versions de protocole. L'exécution de l'utilitaire TLS Configurator sur ESXi 8.0 échoue en silence sans signaler d'erreur.

Avant d'effectuer une reconfiguration d'anciennes versions de protocole sur vCenter Server, tenez compte de votre environnement. Selon les exigences de votre environnement et les versions de logiciel, vous devrez peut-être réactiver TLS 1.0 et TLS 1.1, en plus de TLS 1.2, afin de maintenir l'interopérabilité. Consultez l'article de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/2145796 pour obtenir la liste des produits VMware qui prennent en charge le protocole TLS 1.2. Pour l'intégration à des produits tiers, consultez la documentation de votre fournisseur. L'utilitaire TLS Configurator fonctionne avec vSphere 8.0 et versions antérieures, notamment les versions 7.0, 6.7, 6.5 et 6.0.

vCenter Server utilise des ports pouvant être activés ou désactivés pour les protocoles TLS. L'option scan de l'utilitaire de configuration TLS affiche les versions TLS activées pour chaque service. Reportez-vous à la section Analyser vCenter Server pour les protocoles TLS.

Pour obtenir la liste de tous les ports et protocoles pris en charge dans les produits VMware, y compris vSphere et vSAN, reportez-vous à la section Outil Ports et protocoles de VMware™ à l'adresse https://ports.vmware.com/. Vous pouvez rechercher des ports selon le produit VMware, créer une liste personnalisée de ports et imprimer ou enregistrer des listes de ports.

vCenter Server et Envoy

Dans vSphere 7.0 et versions ultérieures, vCenter Server exécute deux services de proxy inverse :

  • Service de proxy inverse de VMware, rhttpproxy.
  • Envoy

Envoy est un dispositif Edge et un proxy de service Open Source. Envoy est propriétaire du port 443 et toutes les demandes vCenter Server entrantes sont acheminées via Envoy. Dans vSphere 7.0 et versions ultérieures, rhttpproxy sert de serveur de gestion de configuration pour Envoy. Par conséquent, la configuration TLS est appliquée à rhttpproxy, qui à son tour envoie la configuration à Envoy.

Remarques et avertissements à propos de vSphere et TLS

  • La version vSphere 6.7 était la version finale de vCenter Server pour Windows. Consultez la documentation Sécurité vSphere pour la version 6.7 du produit afin d'obtenir plus d'informations sur la reconfiguration de TLS pour les ports Update Manager sur vCenter Server pour Windows.
  • Vous pouvez utiliser TLS 1.2 pour chiffrer la connexion entre l'instance de vCenter Server et un serveur Microsoft SQL Server externe. Vous ne pouvez pas utiliser une connexion TLS 1.2 unique pour la base de données Oracle externe. Consultez l'article de la base de connaissances de VMware à l'adresse https://kb.vmware.com/kb/2149745.
  • Pour vSphere 6.7 et les versions antérieures, ne désactivez pas TLS 1.0 sur une instance vCenter Server ou Platform Services Controller qui s'exécute sous Windows Server 2008. Windows 2008 prend en charge uniquement TLS 1.0. Reportez-vous à l'article de Microsoft TechNet sur les paramètres TLS/SSL dans le document Server Roles and Technologies Guide.

Effectuer une sauvegarde manuelle facultative TLS de vCenter Server

L'utilitaire de configuration TLS effectue une sauvegarde de la configuration TLS à chaque fois que le script modifie vCenter Server. Si vous avez besoin d'effectuer une sauvegarde dans un répertoire spécifique, vous pouvez effectuer une sauvegarde manuelle.

Pour vCenter Server, le répertoire par défaut est /tmp/yearmonthdayTtime.

Procédure

  1. Connectez-vous via SSH à vCenter Server.
  2. Modifiez le répertoire en /usr/lib/vmware-TlsReconfigurator/VcTlsReconfigurator..
  3. Pour effectuer une sauvegarde dans un répertoire spécifique, exécutez la commande suivante.
    directory_path/VcTlsReconfigurator> ./reconfigureVc backup -d backup_directory_path
  4. Vérifiez que la sauvegarde s'est effectuée correctement.
    Une sauvegarde réussie ressemble à l'exemple suivant. L'ordre des services affiché peut être différent à chaque fois que vous exécutez la commande reconfigureVc backup, en raison du mode d'exécution de celle-ci.
    vCenter Transport Layer Security reconfigurator, version=8.0.0, build=10068142
    For more information refer to the following article: https://kb.vmware.com/kb/2147469
    Log file: "/var/log/vmware/vSphere-TlsReconfigurator/VcTlsReconfigurator.log".
    ================= Backing up vCenter Server TLS configuration ==================
    Using backup directory: /tmp/20220714T225653
    Backing up: vmcam
    Backing up: vmdird
    Backing up: vmware-rhttpproxy
    Backing up: vmware-stsd
    Backing up: vami-lighttp
    Backing up: vmware-rbd-watchdog
    Backing up: rsyslog
    Backing up: vmware-updatemgr
    Backing up: vmware-sps
    Backing up: vmware-vpxd
  5. (Facultatif) Si vous devez par la suite effectuer une restauration, exécutez la commande suivante.
    reconfigureVc restore -d optional_custom_backup_directory_path

Activer ou désactiver les versions TLS sur les systèmes vCenter Server

Vous pouvez utiliser l'utilitaire de configuration de TLS pour activer ou désactiver les versions de TLS sur les systèmes vCenter Server. Dans le cadre de ce processus, vous pouvez désactiver TLS 1.0 et activer TLS 1.1 et TLS 1.2. Vous pouvez également désactiver TLS 1.0 et TLS 1.1 et activer uniquement TLS 1.2.

Conditions préalables

Assurez-vous que les hôtes et les services gérés par vCenter Server peuvent communiquer à l'aide d'une version de TLS qui reste activée. Pour les produits qui communiquent uniquement à l'aide de TLS 1.0, la connectivité devient indisponible.

Procédure

  1. Connectez-vous au système vCenter Server avec le nom d'utilisateur et le mot de passe pour administrator@vsphere.local, ou en tant qu'un autre membre du groupe d'administrateurs de vCenter Single Sign-On qui peut exécuter des scripts.
  2. Accédez au répertoire dans lequel se trouve le script.
    cd /usr/lib/vmware-TlsReconfigurator/VcTlsReconfigurator
  3. Exécutez la commande en fonction de la version de TLS que vous souhaitez utiliser.
    • Pour désactiver TLS 1.0 et activer TLS 1.1 et TLS 1.2, exécutez la commande suivante.
      directory_path/VcTlsReconfigurator> ./reconfigureVc update -p TLSv1.1 TLSv1.2
    • Pour désactiver TLS 1.0 et TLS 1.1 et activer uniquement TLS 1.2, exécutez la commande suivante.
      directory_path/VcTlsReconfigurator> ./reconfigureVc update -p TLSv1.2
  4. Si votre environnement inclut d'autres systèmes vCenter Server, répétez le processus sur chaque système vCenter Server.

Analyser vCenter Server pour les protocoles TLS

Après avoir activé ou désactivé les versions TLS sur vCenter Server, vous pouvez utiliser l'utilitaire de configuration de TLS pour afficher vos modifications.

L'option scan de l'utilitaire de configuration TLS affiche les versions TLS activées pour chaque service.

Procédure

  1. Connectez-vous au système vCenter Server.
    1. Connectez-vous au dispositif à l'aide de SSH en tant qu'utilisateur avec des privilèges pour exécuter des scripts.
    2. Si l'interpréteur de commandes de dépistage n'est pas actuellement activé, exécutez les commandes suivantes.
      shell.set --enabled true
      shell
  2. Accédez au répertoire VcTlsReconfigurator.
    cd /usr/lib/vmware-TlsReconfigurator/VcTlsReconfigurator
  3. Pour afficher les services pour lesquels TLS est activé et les ports utilisés, exécutez la commande suivante.
    reconfigureVc scan

Restaurer les modifications de configuration de l'utilitaire TLS de vCenter Server

Vous pouvez utiliser l'utilitaire de configuration TLS pour restaurer les modifications de configuration. Lorsque vous restaurez les modifications, le système active les protocoles que vous avez désactivés à l'aide de l'utilitaire TLS Configurator.

Conditions préalables

Avant de restaurer les modifications, utilisez l'interface de gestion de vCenter Server pour effectuer une sauvegarde de vCenter Server.

Procédure

  1. Connectez-vous à l'instance de vCenter Server sur laquelle vous souhaitez restaurer les modifications en tant qu'utilisateur disposant de privilèges d'exécution de scripts.
  2. Si le shell de dépistage n'est pas actuellement activé, exécutez les commandes suivantes.
    shell.set --enabled true
    shell
  3. Accédez au répertoire VcTlsReconfigurator.
    cd /usr/lib/vmware-TlsReconfigurator/VcTlsReconfigurator
  4. Examinez la sauvegarde précédente.
    grep "backup directory" /var/log/vmware/vSphere-TlsReconfigurator/VcTlsReconfigurator.log
    
    Le résultat est semblable à l'exemple suivant.
    2022-07-14T22:56:53.706Z INFO Using backup directory: /tmp/20220714T225653
    2022-07-14T22:58:08.594Z INFO Using backup directory: /tmp/20220714T225808
    
  5. Exécutez la commande suivante pour effectuer une restauration.
    reconfigureVc restore -d Directory_path_from_previous_step
    
    La configuration TLS est restaurée. Dans le cadre du processus, vCenter Server est redémarré.
  6. Répétez la procédure sur toutes les autres instances de vCenter Server.