vSphere 環境で TLS Configurator ユーティリティを実行すると、vCenter Server および ESXi ホスト上で TLS を使用するポート間で TLS を無効にすることができます。TLS 1.0、または TLS 1.0 と TLS 1.1 の両方を無効にすることができます。

vSphere 7.0 以降の vCenter Server では、次の 2 つのリバース プロキシ サービスが実行されます。

  • VMware リバース プロキシ サービスである rhttpproxy
  • Envoy

Envoy はオープン ソースのエッジおよびサービス プロキシです。Envoy はポート 443 を占有し、すべての受信 vCenter Server 要求は Envoy を経由してルーティングされます。vSphere 7.0 では、rhttpproxy は Envoy の構成管理サーバとして機能します。その結果、TLS 構成が rhttpproxy に適用され、そこから構成が Envoy に送信されます。

vCenter Server および ESXi では、TLS プロトコルに対して有効または無効にできるポートが使用されます。TLS 構成ユーティリティの scan オプションを使用すると、各サービスで有効な TLS のバージョンが表示されます。vCenter Serverでの有効な TLS プロトコルのスキャンを参照してください。

vSphere、vSAN を含む VMware 製品でサポートされているすべてのポートとプロトコルのリストについては、https://ports.vmware.com/の VMware Ports and Protocols Tool™ を参照してください。VMware 製品別のポート検索、ポートのカスタマイズ リストの作成、およびポート リストの出力または保存を行うことができます。

メモと注意事項

  • vSphere 6.7 リリースが vCenter Server for Windows の最後のリリースでした。vCenter Server for Windows で Update Manager ポート用に TLS を再構成する方法の詳細については、バージョン 6.7 の製品の『vSphere のセキュリティ』ドキュメントを参照してください。
  • TLS 1.2 を使用して vCenter Server と外部の Microsoft SQL Server の間の接続を暗号化することができます。外部の Oracle データベースに対して TLS 1.2 のみの接続を使用することはできません。VMware のナレッジベースの記事 (https://kb.vmware.com/kb/2149745) を参照してください。
  • vSphere 6.7 およびそれ以前のリリースでは、Windows Server 2008 で実行されている vCenter Server または Platform Services Controller インスタンスで TLS 1.0 を無効にしないでください。Windows 2008 は TLS 1.0 のみをサポートします。Microsoft TechNet の記事「TLS/SSL Settings」(『Server Roles and Technologies Guide』)を参照してください。
  • TLS プロトコルを変更する場合は、ESXi ホストを再起動して変更を適用する必要があります。ホスト プロファイルを使用したクラスタ構成を通じて変更を適用する場合でも、ホストを再起動する必要があります。ホストをすぐに再起動するか、または都合の良い時間まで再起動を延期するかを選択できます。