TLS 構成ユーティリティを使用して ESXi ホストの TLS バージョンを無効にできます。プロセスの一環として、TLS 1.1 と TLS 1.2 の両方を有効にするか、TLS 1.2 のみを有効にします。
ESXiホストの場合は、vSphere 環境の他のコンポーネントとは別のスクリプトを使用します。
注: スクリプトは、
-p オプションを指定しない限り、TLS 1.0 と TLS 1.1 の両方を無効にします。
現在の TLS バージョンを表示するには、ESXi ホストに接続し、次のような openssl
コマンドを実行します。
openssl s_client -tls1 -connect localhost:443 | head -5
openssl s_client -tls1_1 -connect localhost:443 | head -5
openssl s_client -tls1_2 -connect localhost:443 | head -5
前提条件
すべての製品または ESXi ホストに関連付けられたサービスが TLS 1.1 または TLS 1.2 を使用して確実に通信できるようにします。製品が TLS 1.0 のみを使用して通信する場合は、接続できなくなります。
この手順では、単一のホストでタスクを実行する方法について説明します。スクリプトを記述することで、複数のホストに対する設定が可能です。
手順
- スクリプトを実行できる vCenter Single Sign-On ユーザーのユーザー名とパスワードを使用して、vCenter Server システムにログインします。
- スクリプトが配置されているディレクトリに移動します。
OS |
コマンド |
Windows |
cd ..\EsxTlsReconfigurator |
Linux |
cd ../EsxTlsReconfigurator |
- クラスタの一部になっているホストでは、次のコマンドのいずれかを実行します。
- クラスタ内のすべてのホストで、TLS 1.0 を無効にして TLS 1.1 と TLS 1.2 の両方を有効にするには、次のコマンドを実行します。
OS |
コマンド |
Windows |
reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.1 TLSv1.2 |
Linux |
./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.1 TLSv1.2 |
- クラスタ内のすべてのホストで、TLS 1.0 と TLS 1.1 を無効にして TLS 1.2 のみを有効にするには、次のコマンドを実行します。
OS |
コマンド |
Windows |
reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.2 |
Linux |
./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.2 |
- 個々のホストで、次のコマンドのいずれかを実行します。
- 個々のホストで TLS 1.0 を無効にして TLS 1.1 と TLS 1.2 の両方を有効にするには、次のコマンドを実行します。
OS |
コマンド |
Windows |
reconfigureEsx vCenterHost -h <ESXi_Host_Name> -u Administrative_User -p TLSv1.1 TLSv1.2 |
Linux |
./reconfigureEsx vCenterHost -h <ESXi_Host_Name> -u Administrative_User -p TLSv1.1 TLSv1.2 |
注: (
vCenter Server システムの一部でない)スタンドアローン
ESXi ホストを再構成するには、
ESXiHost
-h
HOST
-u
ESXi_USER オプションを使用します。
HOST オプションには、単一
ESXi ホストの IP アドレスまたは FQDN か、ホスト IP アドレスまたは FQDN のリストを指定できます。たとえば、2 台の
ESXi ホストで TLS 1.1 と TLS 1.2 の両方を有効にするには、次のようにします。
reconfigureEsx ESXiHost -h 198.51.100.2 198.51.100.3 -u root -p TLSv1.1 TLSv1.2
- 個々のホストで TLS 1.0 と TLS 1.1 を無効にして TLS 1.2 のみを有効にするには、次のコマンドを実行します。
OS |
コマンド |
Windows |
reconfigureEsx vCenterHost -h <ESXi_Host_Name> -u Administrative_User -p TLSv1.2 |
Linux |
./reconfigureEsx vCenterHost -h <ESXi_Host_Name> -u Administrative_User -p TLSv1.2 |
- ESXiホストを再起動して、TLS プロトコルの変更を完了します。