TLS 構成ユーティリティを使用して ESXi ホストの TLS バージョンを無効にできます。プロセスの一環として、TLS 1.1 と TLS 1.2 の両方を有効にするか、TLS 1.2 のみを有効にします。

ESXiホストの場合は、vSphere 環境の他のコンポーネントとは別のスクリプトを使用します。

注: スクリプトは、 -p オプションを指定しない限り、TLS 1.0 と TLS 1.1 の両方を無効にします。

現在の TLS バージョンを表示するには、ESXi ホストに接続し、次のような openssl コマンドを実行します。

openssl s_client -tls1 -connect localhost:443 | head -5
openssl s_client -tls1_1 -connect localhost:443 | head -5
openssl s_client -tls1_2 -connect localhost:443 | head -5

前提条件

すべての製品または ESXi ホストに関連付けられたサービスが TLS 1.1 または TLS 1.2 を使用して確実に通信できるようにします。製品が TLS 1.0 のみを使用して通信する場合は、接続できなくなります。

この手順では、単一のホストでタスクを実行する方法について説明します。スクリプトを記述することで、複数のホストに対する設定が可能です。

手順

  1. スクリプトを実行できる vCenter Single Sign-On ユーザーのユーザー名とパスワードを使用して、vCenter Server システムにログインします。
  2. スクリプトが配置されているディレクトリに移動します。
    OS コマンド
    Windows 
    cd ..\EsxTlsReconfigurator
    Linux 
    cd ../EsxTlsReconfigurator
  3. クラスタの一部になっているホストでは、次のコマンドのいずれかを実行します。
    • クラスタ内のすべてのホストで、TLS 1.0 を無効にして TLS 1.1 と TLS 1.2 の両方を有効にするには、次のコマンドを実行します。
      OS コマンド
      Windows 
      reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.1 TLSv1.2
      Linux 
      ./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.1 TLSv1.2
    • クラスタ内のすべてのホストで、TLS 1.0 と TLS 1.1 を無効にして TLS 1.2 のみを有効にするには、次のコマンドを実行します。
      OS コマンド
      Windows 
      reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.2
      Linux 
      ./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.2
  4. 個々のホストで、次のコマンドのいずれかを実行します。
    • 個々のホストで TLS 1.0 を無効にして TLS 1.1 と TLS 1.2 の両方を有効にするには、次のコマンドを実行します。
      OS コマンド
      Windows 
      reconfigureEsx vCenterHost -h <ESXi_Host_Name> -u Administrative_User -p TLSv1.1 TLSv1.2
      Linux 
      ./reconfigureEsx vCenterHost -h <ESXi_Host_Name> -u Administrative_User -p TLSv1.1 TLSv1.2
      注:vCenter Server システムの一部でない)スタンドアローン ESXi ホストを再構成するには、 ESXiHost -h HOST -u ESXi_USER オプションを使用します。 HOST オプションには、単一 ESXi ホストの IP アドレスまたは FQDN か、ホスト IP アドレスまたは FQDN のリストを指定できます。たとえば、2 台の ESXi ホストで TLS 1.1 と TLS 1.2 の両方を有効にするには、次のようにします。 
      reconfigureEsx ESXiHost -h 198.51.100.2 198.51.100.3 -u root -p TLSv1.1 TLSv1.2
    • 個々のホストで TLS 1.0 と TLS 1.1 を無効にして TLS 1.2 のみを有効にするには、次のコマンドを実行します。
      OS コマンド
      Windows 
      reconfigureEsx vCenterHost -h <ESXi_Host_Name> -u Administrative_User -p TLSv1.2
      Linux 
      ./reconfigureEsx vCenterHost -h <ESXi_Host_Name> -u Administrative_User -p TLSv1.2
  5. ESXiホストを再起動して、TLS プロトコルの変更を完了します。