TLS 構成ユーティリティを使用して ESXi ホストの TLS バージョンを有効または無効にできます。プロセスの実行時に TLS 1.0 を無効にし、TLS 1.1 および TLS 1.2 を有効にすることができます。また、TLS 1.0 および TLS 1.1 を無効にして、TLS 1.2 のみを有効にすることができます。

ESXiホストの場合は、vSphere 環境の他のコンポーネントとは別のユーティリティを使用します。ユーティリティはリリースに対して固有であり、以前のリリースでは使用できません。

スクリプトを記述することで、複数のホストに対する設定が可能です。

前提条件

すべての製品または ESXi ホストに関連付けられたサービスが TLS 1.1 または TLS 1.2 を使用して確実に通信できるようにします。製品が TLS 1.0 のみを使用して通信する場合は、接続できなくなります。

手順

  1. スクリプトを実行できる vCenter Single Sign-On ユーザーのユーザー名とパスワードを使用して、vCenter Server システムにログインします。
  2. スクリプトが配置されているディレクトリに移動します。
    OS コマンド
    Windows
    cd %VMWARE_CIS_HOME%\TlsReconfigurator\EsxTlsReconfigurator
    Linux
    cd /usr/lib/vmware-TlsReconfigurator/EsxTlsReconfigurator
  3. クラスタの一部になっている ESXi ホストでは、次のコマンドのいずれかを実行します。
    • クラスタ内のすべてのホストで、TLS 1.0 を無効にして TLS 1.1 と TLS 1.2 の両方を有効にするには、次のコマンドを実行します。
      OS コマンド
      Windows
      reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.1 TLSv1.2
      Linux
      ./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.1 TLSv1.2
    • クラスタ内のすべてのホストで、TLS 1.0 と TLS 1.1 を無効にして TLS 1.2 のみを有効にするには、次のコマンドを実行します。
      OS コマンド
      Windows
      reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.2
      Linux
      ./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.2
  4. クラスタに含まれていないホストごとに、次のコマンドのいずれかを実行します。
    • 個々のホストで TLS 1.0 を無効にして TLS 1.1 と TLS 1.2 の両方を有効にするには、次のコマンドを実行します。
      OS コマンド
      Windows
      reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.1 TLSv1.2
      Linux
      ./reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.1 TLSv1.2
    • 個々のホストで TLS 1.0 と TLS 1.1 を無効にして TLS 1.2 のみを有効にするには、次のコマンドを実行します。
      OS コマンド
      Windows
      reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.2
      Linux
      ./reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.2
      注: スタンドアローン ESXi ホストを再構成するには、 vCenter Server システムにログインし、 ESXiHost -h HOST -u ESXi_USER オプションを指定して reconfigureEsx コマンドを実行します。 HOST オプションには、単一 ESXi ホストの IP アドレスまたは FQDN か、ホスト IP アドレスまたは FQDN のリストを指定できます。たとえば、 vCenter Server にログインして次のコマンドを実行すると、2 台の ESXi ホストで TLS 1.1 と TLS 1.2 の両方が有効になります。
      ./reconfigureEsx ESXiHost -h 198.51.100.2 198.51.100.3 -u root -p TLSv1.1 TLSv1.2

      また、スタンドアローン ESXi ホストを再構成するためにホストにログインし、UserVars.ESXiVPsDisabledProtocols の詳細設定を変更することもできます。詳細については、vSphere の単一ホスト管理:VMware Host Client ドキュメントの「高度な TLS/SSL キー オプションの構成」というトピックを参照してください。

  5. ESXiホストを再起動して、TLS プロトコルの変更を完了します。