Configurazione di TLS di vSphere

A partire dalla versione 8.0 Update 3, vSphere supporta TLS 1.3 e 1.2 tramite l'uso dei profili TLS. I profili TLS semplificano il processo di amministrazione dei parametri TLS e migliorano anche la supportabilità.

vSphere 8.0 Update 3 attiva il profilo TLS predefinito, denominato COMPATIBLE, negli host ESXi e vCenter Server. Il profilo COMPATIBLE supporta TLS 1.3 e alcune connessioni di TLS 1.2.

È possibile gestire i profili TLS negli host ESXi utilizzando vSphere Configuration Profiles o i comandi esxcli. Negli host vCenter Server, è possibile gestire i profili TLS utilizzando le API. Ad esempio, è possibile utilizzare Developer Center in vSphere Client. Vedere Guida alla programmazione di vSphere Automation SDK e Guida alla programmazione della REST API di vSphere Automation.

vCenter Server e inviato

vCenter Server esegue due servizi di proxy inverso:

Servizio proxy inverso VMware, rhttpproxy
Envoy

Envoy è un proxy di servizio e edge open source. Envoy possiede la porta 443 e tutte le richieste vCenter Server in entrata vengono indirizzate verso Envoy. rhttpproxy funge da server di gestione della configurazione per Envoy. Di conseguenza la configurazione TLS viene applicata a rhttpproxy, che a sua volta invia la configurazione a Envoy.

In che modo vSphere implementa TLS utilizzando i profili TLS

vSphere 8.0 Update 3 implementa TLS 1.3 raggruppando i parametri, tra cui le versioni del protocollo, i gruppi (chiamati anche curve) e le crittografie, in un singolo profilo TLS. Questo profilo TLS viene applicato a livello di sistema. L'utilizzo di un singolo profilo TLS semplifica il sovraccarico amministrativo degli host. Non è più necessario configurare manualmente singoli parametri TLS, anche se tale funzionalità è ancora disponibile, se necessario. I profili TLS migliorano anche significativamente la supportabilità. Il raggruppamento di parametri in profili TLS semplifica il set di soluzioni TLS verificate da VMware tra cui scegliere. In ESXi, i profili TLS sono integrati con vSphere Configuration Profiles.

Sono disponibili i seguenti profili TLS di ESXi:

COMPATIBLE: il profilo predefinito. La mappatura esatta dei parametri in questo profilo può cambiare da versione a release, ma è garantito che il profilo sia compatibile con tutti i prodotti e le versioni supportate (attualmente N-2 versioni). Ciò significa che un host ESXi con versione N che utilizza il profilo COMPATIBLE può comunicare con un host con versione N-2.
NIST_2024: profilo più restrittivo che supporta specificamente lo standard NIST 2024. La mappatura esatta dei parametri in questo profilo soddisfa lo standard NIST 2024 nelle versioni. Questo profilo è compatibile solo con la versione corrente e le versioni successive, non con le versioni precedenti.
MANUAL: utilizzare questo profilo per creare e testare una configurazione ad hoc in cui specificare manualmente i parametri TLS. Non è garantito che un profilo MANUAL funzioni senza errori. È necessario testare un profilo MANUAL, inclusi gli aggiornamenti del software. Quando si sceglie di utilizzare il profilo MANUAL, per impostazione predefinita il sistema viene innanzitutto impostato sul profilo selezionato in precedenza (COMPATIBLE o NIST_2024) e rimane tale finché non vengono apportate modifiche. Per gestire il profilo TLS MANUAL, è necessario utilizzare i comandi esxcli. Per ulteriori informazioni sulla modifica dei parametri in un profilo TLS MANUAL, vedere il testo della guida fornito con esxcli.

Quando si imposta il profilo TLS sullo stato desiderato, è necessario riavviare l'host ESXi o correggere il cluster vLCM in cui si trova l'host ESXi per applicare le modifiche.

Le tabelle seguenti illustrano i dettagli dei profili TLS per ESXi e vCenter Server in vSphere 8.0 Update 3. La colonna Elenco crittografie include le crittografie TLS per i protocolli TLS 1.2 e precedenti. La colonna Pacchetti di crittografia include le crittografie per il protocollo TLS 1.3.

Tabella 1. Profili TLS 1.3 di ESXi
Nome profilo TLS	Versioni protocollo TLS	Elenco crittografie	Pacchetti di crittografia	Curve	Supportato da VMware?
COMPATIBLE	TLS 1.3 e TLS 1.2	ECDHE+AESGCM:ECDHE+AES	TLS_AES_256_GCM_SHA384; TLS_AES_128_GCM_SHA256	prime256v1:secp384r1:secp521r1	Sì
NIST_2024	TLS 1.3 e TLS 1.2	ECDHE+AESGCM	TLS_AES_256_GCM_SHA384; TLS_AES_128_GCM_SHA256	prime256v1:secp384r1:secp521r1	Sì
MANUAL	Qualsiasi	Qualsiasi	Qualsiasi	Qualsiasi	No

Note:

Le impostazioni supportate (protocolli, elenco di crittografie, pacchetti di crittografia e curve) rappresentano i valori massimi supportati.
Il profilo NIST_2024 si applica solo alle connessioni in entrata.
Il modulo crittografico BoringSSL utilizzato in vSphere 8.0 Update 3 non ha ancora conseguito la certificazione FIPS per l'utilizzo di TLS 1.3. Di conseguenza, sia in ESXi sia in vCenter Server, la porta 443 (proxy inverso) comunica utilizzando TLS 1.2. I profili TLS COMPATIBLE e NIST_2024 non utilizzano il protocollo TLS 1.3 non FIPS.

Sono disponibili i seguenti profili TLS 1.3 di vCenter Server:

COMPATIBLE: il profilo predefinito. La mappatura esatta dei parametri in questo profilo può cambiare da versione a release, ma è garantito che il profilo sia compatibile con tutti i prodotti e le versioni supportate (attualmente N-2 versioni).
NIST_2024: profilo più restrittivo che supporta specificamente lo standard NIST 2024. La mappatura esatta dei parametri in questo profilo soddisfa lo standard NIST 2024 nelle versioni. Questo profilo è compatibile solo con la versione corrente e le versioni successive, non con le versioni precedenti.
COMPATIBLE-NON-FIPS: profilo modificato che consente una connessione TLS 1.3 non FIPS dal proxy Envoy. FIPS non è abilitato.

Tabella 2. Profili TLS 1.3 di vCenter Server
Nome profilo TLS	Versioni protocollo TLS	Pacchetti di crittografia	Curve	FIPS è abilitato?	Supportato da VMware?
COMPATIBLE	TLS 1.3	TLS_AES_256_GCM_SHA384; TLS_AES_128_GCM_SHA256	prime256v1:secp384r1:secp521r1	Sì	Sì
COMPATIBLE	TLS 1.2	ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-GCM-SHA256 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES128-SHA AES256-SHA AES128-SHA	prime256v1:secp384r1:secp521r1	Sì	Sì
NIST_2024	TLS 1.3	TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256	prime256v1:secp384r1:secp521r1	Sì	Sì
NIST_2024	TLS 1.2	ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256	prime256v1:secp384r1:secp521r1	Sì	Sì
COMPATIBLE-NON-FIPS	TLS 1.3	TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256	prime256v1:secp384r1:secp521r1	No	Sì
COMPATIBLE-NON-FIPS	TLS 1.2	ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-GCM-SHA256 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES128-SHA AES256-SHA AES128-SHA	prime256v1:secp384r1:secp521r1	No	Sì

TLS e le connessioni in entrata e in uscita in ESXi e vCenter Server

ESXi 8.0 Update 3 supporta TLS 1.3 nelle connessioni in entrata (server) e in uscita (client). Le connessioni in entrata (server) di ESXi sono quelle più problematiche e quelle in cui viene applicato il profilo NIST_2024 più restrittivo.

Per ESXi, è possibile utilizzare le impostazioni COMPATIBLE, NIST_2024 e MANUAL per le connessioni in entrata (server). È possibile utilizzare le impostazioni COMPATIBLE e MANUAL nelle connessioni in uscita (client).

I profili TLS di vCenter Server applicano le loro impostazioni alle connessioni in entrata e in uscita.

Alcuni servizi vSphere espongono porte che accettano connessioni TLS, mentre la maggior parte dei servizi utilizza il proxy inverso. Per impostazione predefinita, tutte le connessioni in entrata accettano TLS 1.2 e TLS 1.3. Attualmente, la porta 443 (proxy inverso) ha TLS 1.3 disabilitato e comunica utilizzando TLS 1.2. Le connessioni in uscita supportano TLS 1.2 e TLS 1.3. Per ulteriori informazioni, vedere TLS 1.3 sulla porta 443 in ESXi e FIPS.

TLS e gestione del ciclo di vita

L'aggiornamento o la migrazione di un host ESXi o vCenter Server alla versione 8.0 Update 3 abilita il profilo TLS COMPATIBLE per impostazione predefinita. vSphere 8.0 Update 3 supporta TLS 1.3 e TLS 1.2 per l'interoperabilità minima predefinita. In futuro, l'aggiornamento a una versione successiva di ESXi o vCenter Server manterrà il profilo TLS corrente in uso a meno che tale profilo non sia stato ritirato.

Quando si esegue l'aggiornamento a una nuova versione, è consigliabile impostare innanzitutto il profilo TLS su COMPATIBLE.

Se si apportano modifiche a livello di servizio locali prima di eseguire l'aggiornamento a vSphere 8.0 Update 3, dopo l'aggiornamento, all'host viene assegnato il profilo COMPATIBLE, che non riflette tali modifiche. Per fare in modo che l'host rifletta tali modifiche, passare all'utilizzo del profilo MANUAL. Vedere Modifica del profilo TLS di un host ESXi tramite vSphere Client o Modifica del profilo TLS di un host ESXi tramite la CLI.

Avviso: Non è garantito che il profilo TLS MANUAL funzioni senza errori durante gli aggiornamenti. È necessario verificare che un profilo TLS MANUAL modificato funzioni da una versione a un'altra oppure passare al profilo TLS COMPATIBLE.

TLS 1.3 sulla porta 443 in ESXi e FIPS

Al momento, vSphere disabilita TLS 1.3 sulla porta 443. La versione del modulo crittografico Boring SSL utilizzata in vSphere 8.0 Update 3 non dispone della certificazione FIPS per TLS 1.3. Quando si utilizza il profilo TLS COMPATIBLE o NIST_2024, tutte le porte ad eccezione della 443 comunicano tramite TLS 1.3. Per il momento, a causa di questo problema, la porta 443 utilizza TLS 1.2.

Per abilitare TLS 1.3 non FIPS sulla porta 443, vedere l'articolo della Knowledge Base di VMware all'indirizzo https://kb.vmware.com/s/article/92473.