A partire dalla versione 8.0 Update 3, vSphere supporta TLS 1.3 e 1.2 tramite l'uso dei profili TLS. I profili TLS semplificano il processo di amministrazione dei parametri TLS e migliorano anche la supportabilità.
vSphere 8.0 Update 3 attiva il profilo TLS predefinito, denominato COMPATIBLE, negli host ESXi e vCenter Server. Il profilo COMPATIBLE supporta TLS 1.3 e alcune connessioni di TLS 1.2.
È possibile gestire i profili TLS negli host ESXi utilizzando vSphere Configuration Profiles o i comandi esxcli
. Negli host vCenter Server, è possibile gestire i profili TLS utilizzando le API. Ad esempio, è possibile utilizzare Developer Center in vSphere Client. Vedere Guida alla programmazione di vSphere Automation SDK e Guida alla programmazione della REST API di vSphere Automation.
vCenter Server e inviato
vCenter Server esegue due servizi di proxy inverso:
- Servizio proxy inverso VMware,
rhttpproxy
- Envoy
Envoy è un proxy di servizio e edge open source. Envoy possiede la porta 443 e tutte le richieste vCenter Server in entrata vengono indirizzate verso Envoy. rhttpproxy
funge da server di gestione della configurazione per Envoy. Di conseguenza la configurazione TLS viene applicata a rhttpproxy
, che a sua volta invia la configurazione a Envoy.
In che modo vSphere implementa TLS utilizzando i profili TLS
vSphere 8.0 Update 3 implementa TLS 1.3 raggruppando i parametri, tra cui le versioni del protocollo, i gruppi (chiamati anche curve) e le crittografie, in un singolo profilo TLS. Questo profilo TLS viene applicato a livello di sistema. L'utilizzo di un singolo profilo TLS semplifica il sovraccarico amministrativo degli host. Non è più necessario configurare manualmente singoli parametri TLS, anche se tale funzionalità è ancora disponibile, se necessario. I profili TLS migliorano anche significativamente la supportabilità. Il raggruppamento di parametri in profili TLS semplifica il set di soluzioni TLS verificate da VMware tra cui scegliere. In ESXi, i profili TLS sono integrati con vSphere Configuration Profiles.
Sono disponibili i seguenti profili TLS di ESXi:
- COMPATIBLE: il profilo predefinito. La mappatura esatta dei parametri in questo profilo può cambiare da versione a release, ma è garantito che il profilo sia compatibile con tutti i prodotti e le versioni supportate (attualmente N-2 versioni). Ciò significa che un host ESXi con versione N che utilizza il profilo COMPATIBLE può comunicare con un host con versione N-2.
- NIST_2024: profilo più restrittivo che supporta specificamente lo standard NIST 2024. La mappatura esatta dei parametri in questo profilo soddisfa lo standard NIST 2024 nelle versioni. Questo profilo è compatibile solo con la versione corrente e le versioni successive, non con le versioni precedenti.
- MANUAL: utilizzare questo profilo per creare e testare una configurazione ad hoc in cui specificare manualmente i parametri TLS. Non è garantito che un profilo MANUAL funzioni senza errori. È necessario testare un profilo MANUAL, inclusi gli aggiornamenti del software. Quando si sceglie di utilizzare il profilo MANUAL, per impostazione predefinita il sistema viene innanzitutto impostato sul profilo selezionato in precedenza (COMPATIBLE o NIST_2024) e rimane tale finché non vengono apportate modifiche. Per gestire il profilo TLS MANUAL, è necessario utilizzare i comandi
esxcli
. Per ulteriori informazioni sulla modifica dei parametri in un profilo TLS MANUAL, vedere il testo della guida fornito conesxcli
.
Quando si imposta il profilo TLS sullo stato desiderato, è necessario riavviare l'host ESXi o correggere il cluster vLCM in cui si trova l'host ESXi per applicare le modifiche.
Le tabelle seguenti illustrano i dettagli dei profili TLS per ESXi e vCenter Server in vSphere 8.0 Update 3. La colonna Elenco crittografie include le crittografie TLS per i protocolli TLS 1.2 e precedenti. La colonna Pacchetti di crittografia include le crittografie per il protocollo TLS 1.3.
Nome profilo TLS | Versioni protocollo TLS | Elenco crittografie | Pacchetti di crittografia | Curve | Supportato da VMware? |
---|---|---|---|---|---|
COMPATIBLE | TLS 1.3 e TLS 1.2 | ECDHE+AESGCM:ECDHE+AES | TLS_AES_256_GCM_SHA384; TLS_AES_128_GCM_SHA256 |
prime256v1:secp384r1:secp521r1 | Sì |
NIST_2024 | TLS 1.3 e TLS 1.2 | ECDHE+AESGCM | TLS_AES_256_GCM_SHA384; TLS_AES_128_GCM_SHA256 |
prime256v1:secp384r1:secp521r1 | Sì |
MANUAL | Qualsiasi | Qualsiasi | Qualsiasi | Qualsiasi | No |
Note:
- Le impostazioni supportate (protocolli, elenco di crittografie, pacchetti di crittografia e curve) rappresentano i valori massimi supportati.
- Il profilo NIST_2024 si applica solo alle connessioni in entrata.
- Il modulo crittografico BoringSSL utilizzato in vSphere 8.0 Update 3 non ha ancora conseguito la certificazione FIPS per l'utilizzo di TLS 1.3. Di conseguenza, sia in ESXi sia in vCenter Server, la porta 443 (proxy inverso) comunica utilizzando TLS 1.2. I profili TLS COMPATIBLE e NIST_2024 non utilizzano il protocollo TLS 1.3 non FIPS.
Sono disponibili i seguenti profili TLS 1.3 di vCenter Server:
- COMPATIBLE: il profilo predefinito. La mappatura esatta dei parametri in questo profilo può cambiare da versione a release, ma è garantito che il profilo sia compatibile con tutti i prodotti e le versioni supportate (attualmente N-2 versioni).
- NIST_2024: profilo più restrittivo che supporta specificamente lo standard NIST 2024. La mappatura esatta dei parametri in questo profilo soddisfa lo standard NIST 2024 nelle versioni. Questo profilo è compatibile solo con la versione corrente e le versioni successive, non con le versioni precedenti.
- COMPATIBLE-NON-FIPS: profilo modificato che consente una connessione TLS 1.3 non FIPS dal proxy Envoy. FIPS non è abilitato.
Nome profilo TLS | Versioni protocollo TLS | Pacchetti di crittografia | Curve | FIPS è abilitato? | Supportato da VMware? |
---|---|---|---|---|---|
COMPATIBLE | TLS 1.3 | TLS_AES_256_GCM_SHA384; TLS_AES_128_GCM_SHA256 |
prime256v1:secp384r1:secp521r1 | Sì | Sì |
TLS 1.2 | ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-GCM-SHA256 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES128-SHA AES256-SHA AES128-SHA |
||||
NIST_2024 | TLS 1.3 | TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256 | prime256v1:secp384r1:secp521r1 | Sì | Sì |
TLS 1.2 | ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 |
||||
COMPATIBLE-NON-FIPS | TLS 1.3 | TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256 | prime256v1:secp384r1:secp521r1 | No | Sì |
TLS 1.2 | ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-GCM-SHA256 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES128-SHA AES256-SHA AES128-SHA |
TLS e le connessioni in entrata e in uscita in ESXi e vCenter Server
ESXi 8.0 Update 3 supporta TLS 1.3 nelle connessioni in entrata (server) e in uscita (client). Le connessioni in entrata (server) di ESXi sono quelle più problematiche e quelle in cui viene applicato il profilo NIST_2024 più restrittivo.
Per ESXi, è possibile utilizzare le impostazioni COMPATIBLE, NIST_2024 e MANUAL per le connessioni in entrata (server). È possibile utilizzare le impostazioni COMPATIBLE e MANUAL nelle connessioni in uscita (client).
I profili TLS di vCenter Server applicano le loro impostazioni alle connessioni in entrata e in uscita.
Alcuni servizi vSphere espongono porte che accettano connessioni TLS, mentre la maggior parte dei servizi utilizza il proxy inverso. Per impostazione predefinita, tutte le connessioni in entrata accettano TLS 1.2 e TLS 1.3. Attualmente, la porta 443 (proxy inverso) ha TLS 1.3 disabilitato e comunica utilizzando TLS 1.2. Le connessioni in uscita supportano TLS 1.2 e TLS 1.3. Per ulteriori informazioni, vedere TLS 1.3 sulla porta 443 in ESXi e FIPS.
TLS e gestione del ciclo di vita
L'aggiornamento o la migrazione di un host ESXi o vCenter Server alla versione 8.0 Update 3 abilita il profilo TLS COMPATIBLE per impostazione predefinita. vSphere 8.0 Update 3 supporta TLS 1.3 e TLS 1.2 per l'interoperabilità minima predefinita. In futuro, l'aggiornamento a una versione successiva di ESXi o vCenter Server manterrà il profilo TLS corrente in uso a meno che tale profilo non sia stato ritirato.
Quando si esegue l'aggiornamento a una nuova versione, è consigliabile impostare innanzitutto il profilo TLS su COMPATIBLE.
Se si apportano modifiche a livello di servizio locali prima di eseguire l'aggiornamento a vSphere 8.0 Update 3, dopo l'aggiornamento, all'host viene assegnato il profilo COMPATIBLE, che non riflette tali modifiche. Per fare in modo che l'host rifletta tali modifiche, passare all'utilizzo del profilo MANUAL. Vedere Modifica del profilo TLS di un host ESXi tramite vSphere Client o Modifica del profilo TLS di un host ESXi tramite la CLI.
TLS 1.3 sulla porta 443 in ESXi e FIPS
Al momento, vSphere disabilita TLS 1.3 sulla porta 443. La versione del modulo crittografico Boring SSL utilizzata in vSphere 8.0 Update 3 non dispone della certificazione FIPS per TLS 1.3. Quando si utilizza il profilo TLS COMPATIBLE o NIST_2024, tutte le porte ad eccezione della 443 comunicano tramite TLS 1.3. Per il momento, a causa di questo problema, la porta 443 utilizza TLS 1.2.
Per abilitare TLS 1.3 non FIPS sulla porta 443, vedere l'articolo della Knowledge Base di VMware all'indirizzo https://kb.vmware.com/s/article/92473.