A partire da vSphere 8.0 Update 3, è possibile gestire i profili TLS per ESXi utilizzando vSphere Client, i comandi esxcli o le API. Per vCenter Server, gestire i profili TLS utilizzando le API.

Se si utilizza vSphere Configuration Profiles, è possibile gestire l'impostazione TLS per gli host ESXi a livello del cluster vLCM. È possibile modificare l'impostazione TLS per il cluster e correggere il cluster rispetto alla nuova configurazione. Per ulteriori informazioni, vedere il capitolo sulla gestione di vSphere Configuration Profiles nella documentazione Gestione del ciclo di vita di host e cluster.

Per gli host ESXi autonomi e i cluster non vLCM, è necessario gestire il profilo TLS utilizzando i comandi esxcli. Consultare la documentazione di Concetti ed esempi di ESXCLI e la guida in linea di esxcli.

Al momento, è possibile gestire i profili TLS di vCenter Server solo utilizzando le API. Vedere Guida alla programmazione di vSphere Automation SDK e Guida alla programmazione della REST API di vSphere Automation.

Visualizzazione del profilo TLS di un host ESXi utilizzando vSphere Client

È possibile utilizzare vSphere Client per visualizzare il profilo TLS di un host ESXi che fa parte di un cluster vLCM.

In vSphere Configuration Profiles, le impostazioni che non sono configurate esplicitamente utilizzano i valori predefiniti del profilo appropriato. Per i profili TLS, il valore predefinito è COMPATIBILE.

Per visualizzare il profilo TLS di un host ESXi cluster autonomo o non vLCM, vedere Visualizzazione del profilo TLS di un host ESXi tramite la CLI.

Prerequisiti

È stato abilitato vSphere Configuration Profiles ed è stata creata una bozza di configurazione per il cluster. Vedere la documentazione di Gestione del ciclo di vita di host e cluster.

Procedura

  1. In vSphere Client, passare al cluster vLCM gestito con una singola immagine.
  2. Nella scheda Configura, fare clic su Stato desiderato > Configurazione.
  3. Nella scheda Impostazioni, fare clic su Sistema.
  4. Fare clic su tls_client o tls_server per visualizzare il profilo TLS definito nel documento di configurazione desiderato corrente.

Visualizzazione del profilo TLS di un host ESXi tramite la CLI

È possibile utilizzare la CLI per visualizzare il profilo TLS attualmente configurato di un host ESXi.

Per gli host ESXi autonomi e i cluster non vLCM, è necessario gestire il profilo TLS utilizzando i comandi esxcli. Per ulteriori informazioni, vedere Guida di riferimento di ESXCLI. Per gli host ESXi in un cluster vLCM, è possibile utilizzare vSphere Configuration Profiles o i comandi esxcli.

Prerequisiti

Abilitare SSH o ESXi Shell nell'host ESXi.

Procedura

  1. Connettersi all'host ESXi.
    È possibile utilizzare SSH o ESXi Shell.
  2. Per visualizzare il profilo TLS attualmente configurato, eseguire il comando seguente. 
    esxcli system tls [client | server] get
  3. Per visualizzare i parametri nel profilo TLS attualmente configurato, eseguire il comando seguente: 
    esxcli system tls [client | server] get --show-profile-defaults

Modifica del profilo TLS di un host ESXi tramite vSphere Client

È possibile modificare il profilo TLS di un host ESXi. Il profilo TLS predefinito è COMPATIBILE.

Prerequisiti

È stato abilitato vSphere Configuration Profiles ed è stata creata una bozza di configurazione per il cluster. Vedere la documentazione di Gestione del ciclo di vita di host e cluster.

Procedura

  1. In vSphere Client, passare a un cluster gestito con una singola immagine.
  2. Nella scheda Configura, fare clic su Stato desiderato > Configurazione.
  3. Nella scheda Impostazioni, fare clic su Sistema.
  4. Fare clic su tls_client o tls_server.
    In base al fatto che l'impostazione sia stata modificata o meno in precedenza, fare clic su Configura impostazioni o su Modifica.
  5. Selezionare il profilo TLS nell'elenco a discesa.
  6. Fare clic su Salva.
  7. Correggere il cluster in base alla bozza di configurazione.
    1. Per correggere il cluster in base alla bozza di configurazione, nella scheda Bozza fare clic su Applica modifiche.
    2. Eseguire i passaggi della procedura guidata Correggi. Per ulteriori informazioni, vedere la documentazione di Gestione del ciclo di vita di host e cluster.

risultati

Tutti gli host ESXi nel cluster sono conformi alla configurazione desiderata.

Modifica del profilo TLS di un host ESXi tramite la CLI

È possibile modificare il profilo TLS di un host ESXi. Il profilo TLS predefinito è COMPATIBILE.

Per gli host ESXi autonomi e i cluster non vLCM, è necessario gestire il profilo TLS utilizzando i comandi esxcli. Per ulteriori informazioni, vedere Guida di riferimento di ESXCLI. Per gli host ESXi in un cluster vLCM, è possibile utilizzare vSphere Configuration Profiles o i comandi esxcli.

Prerequisiti

Abilitare SSH o ESXi Shell nell'host ESXi.

Procedura

  1. Connettersi all'host ESXi.
    È possibile utilizzare SSH o ESXi Shell.
  2. Attivare la modalità di manutenzione per l'host ESXi.
  3. Per modificare il profilo TLS, eseguire il comando seguente. 
    esxcli system tls [client | server] set --profile [COMPATIBLE | NIST_2024 | MANUAL]
    Nota: Se si desidera apportare modifiche ai parametri TLS (a livello di sistema o a livello di servizio), selezionare il profilo MANUALE.
  4. Per rendere effettive le modifiche, riavviare l'host ESXi.
  5. Dopo il riavvio dell'host ESXi, disattivare la modalità di manutenzione.

Modifica dei parametri nel profilo TLS MANUAL tramite la CLI

È possibile modificare il set di parametri nel profilo TLS MANUAL. Per modificare i parametri TLS come l'elenco di crittografia e la suite di crittografia, è innanzitutto necessario impostare il profilo TLS su MANUAL.

Avviso: Broadcom non supporta il profilo TLS MANUAL. Sono supportati solo i profili COMPATIBLE e NIST_2024. Utilizzare il profilo TLS MANUAL a proprio rischio.

È necessario gestire i parametri nel profilo TLS MANUAL utilizzando i comandi esxcli. La gestione dei parametri del profilo TLS MANUAL non è integrata con vSphere Configuration Profiles.

Non è possibile impostare parametri TLS per singoli servizi vSphere. Le modifiche apportate utilizzando il profilo TLS MANUAL vengono applicate a livello di sistema.

Prerequisiti

Abilitare SSH o ESXi Shell nell'host ESXi.

Impostare il profilo TLS su MANUAL. Vedere Modifica del profilo TLS di un host ESXi tramite vSphere Client o Modifica del profilo TLS di un host ESXi tramite la CLI.

Procedura

  1. Connettersi all'host ESXi.
    È possibile utilizzare SSH o ESXi Shell.
  2. Attivare la modalità di manutenzione per l'host ESXi.
  3. Assicurarsi che il profilo TLS sia MANUAL. 
    esxcli system tls [client | server] get
  4. Per modificare i parametri, eseguire uno dei comandi seguenti. 
    esxcli system tls [client | server] set --cipher-list=str
esxcli system tls [client | server] set --cipher-suite=str
esxcli system tls [client | server] set --groups=str
esxcli system tls [client | server] set --protocol-versions=str

    dove str è una stringa in stile OpenSSL delimitata da due punti, virgole o spazi. Ad esempio: --cipher-list=ECDHE+AESGCM:ECDHE+AES

    Per ulteriori informazioni, eseguire il comando seguente:

    esxcli system tls [client | server] set --help
  5. Per rendere effettive le modifiche, riavviare l'host ESXi.
  6. Dopo il riavvio dell'host ESXi, disattivare la modalità di manutenzione.

Esempio

L'esempio seguente imposta innanzitutto il profilo TLS su MANUAL, quindi imposta un set più restrittivo di curve (gruppi). Per rendere effettive le modifiche, sarà necessario un riavvio. 
[root@host1] esxcli system tls server get
   Profile: COMPATIBLE
   Cipher List: <profile default>
   Cipher Suite: <profile default>
   Groups: <profile default>
   Protocol Versions: <profile default>
   Reboot Required: false
[root@host1] esxcli system tls server set --profile MANUAL
[root@host1] esxcli system tls server get
   Profile: MANUAL
   Cipher List: ECDHE+AESGCM:ECDHE+AES
   Cipher Suite: TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384
   Groups: prime256v1:secp384r1:secp521r1
   Protocol Versions: tls1.2,tls1.3
   Reboot Required: true
[root@host1] esxcli system tls server set --groups=prime256v1:secp384r1
[root@host1] esxcli system tls server get
   Profile: MANUAL
   Cipher List: TLS_AES_128_CCM_SHA256
   Cipher Suite: TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384
   Groups: prime256v1:secp384r1
   Protocol Versions: tls1.2,tls1.3
   Reboot Required: true

Gestione del profilo TLS di un host vCenter Server

Utilizzare le API per visualizzare e modificare il profilo TLS per un host vCenter Server.

È possibile eseguire le richieste HTTP in vari modi. Questa attività illustra come utilizzare Developer Center in vSphere Client per gestire i profili TLS. Vedere la Guida alla programmazione della gestione di VMware vCenter Server per ulteriori informazioni sull'utilizzo delle API per gestire vCenter Server Appliance.

Procedura

  1. Accedere al sistema di vCenter Server utilizzando vSphere Client.
  2. Dal menu, selezionare Developer Center.
  3. Fare clic su Esplora API.
  4. Nell'elenco a discesa Seleziona API selezionare appliance.
    Sono disponibili le seguenti categorie e azioni di API.
    Tabella 1. API TLS di vCenter Server
    Opzione Categoria API Azione associata
    Recupera l'elenco di tutti i profili TLS e la relativa configurazione. tls/profiles/ GET
    Recupera i parametri di un profilo TLS specifico. tls/profiles/{id} GET
    Recupera il nome del profilo TLS corrente configurato globalmente. tls/profiles/global/ GET
    Imposta uno dei profili standard specificati globalmente. tls/profiles/global/ PUT
    Nota: Questa azione riavvia i servizi di vCenter Server.
    Recupera i parametri del profilo TLS corrente configurato globalmente. tls/manual-parameters/global GET
    Nota: Al momento non è possibile modificare i parametri di un profilo TLS di vCenter Server.
  5. Eseguire il comando desiderato.