Gestion de vSphere TLS

À partir de vSphere 8.0 Update 3, vous pouvez gérer des profils TLS pour ESXi à l'aide de vSphere Client, des commandes esxcli ou des API. Pour vCenter Server, vous gérez les profils TLS à l'aide des API.

Si vous utilisez vSphere Configuration Profiles, vous pouvez gérer le paramètre TLS pour les hôtes ESXi au niveau du cluster vLCM. Vous pouvez modifier le paramètre TLS du cluster et corriger le cluster par rapport à cette nouvelle configuration. Pour plus d'informations, reportez-vous au chapitre sur la gestion des vSphere Configuration Profiles dans la documentation Gestion du cycle de vie des hôtes et des clusters.

Pour les hôtes ESXi autonomes et les clusters non-vLCM, vous devez gérer le profil TLS à l'aide de commandes esxcli. Reportez-vous à la documentation Concepts et exemples d'ESXCLI et à l'aide en ligne esxcli.

Actuellement, vous pouvez uniquement gérer les profils TLS vCenter Server à l'aide des API. Reportez-vous au Guide de programmation des vSphere Automation SDK et au Guide de programmation de REST API vSphere Automation.

Afficher le profil TLS d'un hôte ESXi à l'aide de vSphere Client

Vous pouvez utiliser vSphere Client pour afficher le profil TLS d'un hôte ESXi faisant partie d'un cluster vLCM.

Dans vSphere Configuration Profiles, les paramètres qui ne sont pas explicitement configurés utilisent les valeurs par défaut du profil approprié. Pour les profils TLS, la valeur par défaut est COMPATIBLE.

Pour afficher le profil TLS d'un hôte ESXi de cluster autonome ou non-vLCM, reportez-vous à la section Afficher le profil TLS d'un hôte ESXi à l'aide de l'interface de ligne de commande.

Conditions préalables

Vous avez activé vSphere Configuration Profiles et créé une configuration provisoire pour le cluster. Consultez la documentation de Gestion du cycle de vie des hôtes et des clusters.

Procédure

Dans vSphere Client, accédez à un cluster vLCM que vous gérez avec une seule image.
Dans l'onglet Configurer, cliquez sur État souhaité > Configuration.
Dans l'onglet Paramètres, cliquez sur système.
Cliquez sur tls_client ou tls_server pour afficher le profil TLS défini dans le document de configuration souhaité actuel.

Afficher le profil TLS d'un hôte ESXi à l'aide de l'interface de ligne de commande

Vous pouvez utiliser l'interface de ligne de commande pour afficher le profil TLS actuellement configuré d'un hôte ESXi.

Pour les hôtes ESXi autonomes et les clusters non-vLCM, vous devez gérer le profil TLS à l'aide de commandes esxcli. Pour plus d'informations, consultez Référence d'ESXCLI. Pour les hôtes ESXi dans un cluster vLCM, vous pouvez utiliser des commandes vSphere Configuration Profiles ou esxcli.

Conditions préalables

Activez SSH ou ESXi Shell sur l'hôte ESXi.

Procédure

Connectez-vous à l'hôte ESXi.
Vous pouvez utiliser SSH ou le ESXi Shell.
Pour afficher le profil TLS actuellement configuré, exécutez la commande suivante.
```
esxcli system tls [client | server] get
```
Pour afficher les paramètres dans le profil TLS actuellement configuré, exécutez la commande suivante :
```
esxcli system tls [client | server] get --show-profile-defaults
```

Modifier le profil TLS d'un hôte ESXi à l'aide de vSphere Client

Vous pouvez modifier le profil TLS d'un hôte ESXi. Le profil TLS par défaut est COMPATIBLE.

Conditions préalables

Vous avez activé vSphere Configuration Profiles et créé une configuration provisoire pour le cluster. Consultez la documentation de Gestion du cycle de vie des hôtes et des clusters.

Procédure

Dans vSphere Client, accédez à un cluster que vous gérez avec une seule image.
Dans l'onglet Configurer, cliquez sur État souhaité > Configuration.
Dans l'onglet Paramètres, cliquez sur système.
Cliquez sur tls_client ou sur tls_server.
Selon que le paramètre a été modifié précédemment ou non, cliquez sur Configurer les paramètres ou sur Modifier.
Sélectionnez le profil TLS dans le menu déroulant.
Cliquez sur Enregistrer.
Corrigez le cluster par rapport à la configuration provisoire.
1. Pour corriger le cluster par rapport à la configuration provisoire, dans l'onglet Version provisoire, cliquez sur Appliquer les modifications.
2. Suivez les invites de l'assistant Corriger. Pour plus d'informations, consultez la documentation Gestion du cycle de vie des hôtes et des clusters.

Résultats

Tous les hôtes ESXi du cluster sont conformes à la configuration souhaitée.

Modifier le profil TLS d'un hôte ESXi à l'aide de la CLI

Vous pouvez modifier le profil TLS d'un hôte ESXi. Le profil TLS par défaut est COMPATIBLE.

Conditions préalables

Activez SSH ou ESXi Shell sur l'hôte ESXi.

Procédure

Connectez-vous à l'hôte ESXi.
Vous pouvez utiliser SSH ou ESXi Shell.
Placez l'hôte ESXi en mode de maintenance.
Pour modifier le profil TLS, exécutez la commande suivante.
```
esxcli system tls [client | server] set --profile [COMPATIBLE | NIST_2024 | MANUAL]
```
Note : Si vous souhaitez apporter des modifications aux paramètres TLS (au niveau du système ou au niveau du service), sélectionnez le profil MANUEL.
Redémarrez l'hôte ESXi pour que la modification prenne effet.
Après le redémarrage de l'hôte ESXi, sortez-le du mode de maintenance.

Modifier les paramètres dans le profil TLS MANUEL à l'aide de l'interface de ligne de commande

Vous pouvez modifier l'ensemble des paramètres dans le profil TLS MANUEL. Pour modifier les paramètres TLS tels que la liste de chiffrements et la suite de chiffrement, vous devez d'abord définir le profil TLS sur MANUEL.

Avertissement : Broadcom ne prend pas en charge le profil TLS MANUEL. Seuls les profils TLS COMPATIBLES ET NIST_2024 sont pris en charge. Utilisez le profil TLS MANUEL à vos propres risques.

Vous devez administrer les paramètres dans le profil TLS MANUEL à l'aide de commandes esxcli. L'administration des paramètres du profil TLS MANUEL n'est pas intégrée à vSphere Configuration Profiles.

Vous ne pouvez pas définir de paramètres TLS pour des services vSphere individuels. Les modifications que vous apportez à l'aide du profil TLS MANUEL sont appliquées au niveau du système.

Conditions préalables

Activez SSH ou ESXi Shell sur l'hôte ESXi.

Modifiez le profil TLS sur MANUEL. Consultez Modifier le profil TLS d'un hôte ESXi à l'aide de vSphere Client ou Modifier le profil TLS d'un hôte ESXi à l'aide de la CLI.

Procédure

Connectez-vous à l'hôte ESXi.
Vous pouvez utiliser SSH ou ESXi Shell.
Placez l'hôte ESXi en mode de maintenance.
Assurez-vous que le profil TLS est MANUEL.
```
esxcli system tls [client | server] get
```

Pour modifier les paramètres, exécutez l'une des commandes suivantes.

esxcli system tls [client | server] set --cipher-list=str
esxcli system tls [client | server] set --cipher-suite=str
esxcli system tls [client | server] set --groups=str
esxcli system tls [client | server] set --protocol-versions=str

où str est une chaîne de style OpenSSL délimitée avec deux points, virgules ou espaces. Par exemple : --cipher-list=ECDHE+AESGCM:ECDHE+AES

Pour plus d'informations, exécutez la commande suivante :

esxcli system tls [client | server] set --help

Redémarrez l'hôte ESXi pour que la modification prenne effet.
Après le redémarrage de l'hôte ESXi, sortez-le du mode de maintenance.

Exemple

L'exemple suivant définit d'abord le profil TLS sur MANUEL, puis définit un ensemble plus restrictif de courbes (groupes). Un redémarrage est nécessaire pour appliquer les modifications.

[root@host1] esxcli system tls server get
   Profile: COMPATIBLE
   Cipher List: <profile default>
   Cipher Suite: <profile default>
   Groups: <profile default>
   Protocol Versions: <profile default>
   Reboot Required: false
[root@host1] esxcli system tls server set --profile MANUAL
[root@host1] esxcli system tls server get
   Profile: MANUAL
   Cipher List: ECDHE+AESGCM:ECDHE+AES
   Cipher Suite: TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384
   Groups: prime256v1:secp384r1:secp521r1
   Protocol Versions: tls1.2,tls1.3
   Reboot Required: true
[root@host1] esxcli system tls server set --groups=prime256v1:secp384r1
[root@host1] esxcli system tls server get
   Profile: MANUAL
   Cipher List: TLS_AES_128_CCM_SHA256
   Cipher Suite: TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384
   Groups: prime256v1:secp384r1
   Protocol Versions: tls1.2,tls1.3
   Reboot Required: true

Gérer le profil TLS d'un hôte vCenter Server

Vous utilisez les API pour afficher et modifier le profil TLS d'un hôte vCenter Server.

Vous pouvez utiliser différentes méthodes pour exécuter des demandes HTTP. Cette tâche indique comment utiliser le centre de développeurs dans vSphere Client pour gérer des profils TLS. Reportez-vous au Guide de programmation de VMware vCenter Server Management pour en savoir plus sur l'utilisation des API pour gérer vCenter Server Appliance.

Procédure

Connectez-vous au système vCenter Server en utilisant vSphere Client.
Dans le menu, sélectionnez Centre de développement.
Cliquez sur Explorateur d'API.

Dans le menu déroulant Sélectionnez l'API, sélectionnez Dispositif.

Les catégories et actions d'API suivantes sont disponibles.

Tableau 1. API TLS vCenter Server
Option	Catégorie d'API	Action associée
Obtient la liste de tous les profils TLS et leur configuration.	tls/profiles/	GET
Obtient les paramètres d'un profil TLS spécifique.	tls/profiles/{id}	GET
Obtient le nom du profil TLS actuel configuré globalement.	tls/profiles/global/	GET
Définit l'un des profils standards que vous spécifiez globalement.	tls/profiles/global/	PUT Note : Cette action redémarre les services vCenter Server.
Obtient les paramètres du profil TLS actuel configuré globalement.	tls/manual-parameters/global	GET

Note : Actuellement, vous ne pouvez pas modifier les paramètres d'un profil TLS vCenter Server.

Exécutez la commande souhaitée.