TLS 構成ユーティリティを使用して ESXi ホストの TLS バージョンを有効または無効にできます。プロセスの実行時に TLS 1.0 を無効にし、TLS 1.1 および TLS 1.2 を有効にすることができます。また、TLS 1.0 および TLS 1.1 を無効にして、TLS 1.2 のみを有効にすることができます。
ESXiホストの場合は、vSphere 環境の他のコンポーネントとは別のユーティリティを使用します。ユーティリティはリリースに対して固有であり、以前のリリースでは使用できません。
スクリプトを記述することで、複数のホストに対する設定が可能です。
前提条件
すべての製品または ESXi ホストに関連付けられたサービスが TLS 1.1 または TLS 1.2 を使用して確実に通信できるようにします。製品が TLS 1.0 のみを使用して通信する場合は、接続できなくなります。
vCenter Server Appliance では、Bash シェルを有効にする必要があります。
手順
- SSH を使用すると、スクリプトを実行できる vCenter Single Sign-On ユーザーのユーザー名とパスワードを使用して、vCenter Server Appliance システムに接続します。
- Bash シェルを有効にするには、コマンド ラインで shell と入力します。
- スクリプトが配置されているディレクトリに移動します。
cd /usr/lib/vmware-TlsReconfigurator/EsxTlsReconfigurator
- クラスタの一部になっている ESXi ホストでは、次のコマンドのいずれかを実行します。
- クラスタ内のすべてのホストで、TLS 1.0 を無効にして TLS 1.1 と TLS 1.2 の両方を有効にするには、次のコマンドを実行します。
./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.1 TLSv1.2
- クラスタ内のすべてのホストで、TLS 1.0 と TLS 1.1 を無効にして TLS 1.2 のみを有効にするには、次のコマンドを実行します。
./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.2
- クラスタに含まれていないホストごとに、次のコマンドのいずれかを実行します。
- TLS 1.0 を無効にして、個々のホストで TLS 1.1 と TLS 1.2 の両方を有効にするには、次のコマンドを実行します。
./reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.1 TLSv1.2
- 個々のホストで TLS 1.0 と TLS 1.1 を無効にして TLS 1.2 のみを有効にするには、次のコマンドを実行します。
./reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.2
注: スタンドアローン
ESXi ホストを再構成するには、
vCenter Server システムにログインし、
ESXiHost
-h
HOST
-u
ESXi_USER オプションを指定して
reconfigureEsx コマンドを実行します。
HOST オプションには、単一
ESXi ホストの IP アドレスまたは FQDN か、ホスト IP アドレスまたは FQDN のリストを指定できます。たとえば、
vCenter Server にログインして次のコマンドを実行すると、2 台の
ESXi ホストで TLS 1.1 と TLS 1.2 の両方が有効になります。
./reconfigureEsx ESXiHost -h 198.51.100.2 198.51.100.3 -u root -p TLSv1.1 TLSv1.2
また、スタンドアローン ESXi ホストを再構成するためにホストにログインし、UserVars.ESXiVPsDisabledProtocols の詳細設定を変更することもできます。詳細については、vSphere の単一ホスト管理:VMware Host Client ドキュメントの「高度な TLS/SSL キー オプションの構成」というトピックを参照してください。
- ESXiホストを再起動して、TLS プロトコルの変更を完了します。
