vSphere 8.0 Update 3 以降では、TLS プロファイルを使用して TLS 1.3 および 1.2 がサポートされます。TLS プロファイルを使用すると、TLS パラメータの管理作業が簡素化され、サポートも向上します。
vSphere 8.0 Update 3 では、ESXi ホストと vCenter Server ホストで COMPATIBLE という名前のデフォルトの TLS プロファイルが有効になります。COMPATIBLE プロファイルは TLS 1.3 および一部の TLS 1.2 接続をサポートします。
vSphere Configuration Profiles または esxcli
コマンドを使用して、ESXi ホストの TLS プロファイルを管理できます。vCenter Server ホストでは、API を使用して TLS プロファイルを管理できます。たとえば、vSphere Client でデベロッパー センターを使用できます。『vSphere Automation SDKs Programming Guide』および『vSphere Automation REST API Programming Guide』を参照してください。
vCenter Server と Envoy
vCenter Server は、次の 2 つのリバース プロキシ サービスを実行します。
- VMware リバース プロキシ サービスである
rhttpproxy
- Envoy
Envoy はオープン ソースのエッジおよびサービス プロキシです。Envoy はポート 443 を占有し、すべての受信 vCenter Server 要求は Envoy を経由してルーティングされます。rhttpproxy
は Envoy の構成管理サーバとして機能します。その結果、TLS 構成が rhttpproxy
に適用され、そこから構成が Envoy に送信されます。
vSphere が TLS プロファイルを使用して TLS を実装する方法
vSphere 8.0 Update 3 では、プロトコル バージョン、グループ(曲線とも呼ばれます)、暗号などのパラメータを 1 つの TLS プロファイルにグループ化して TLS 1.3 を実装します。この TLS プロファイルはシステム全体に適用されます。単一の TLS プロファイルを使用すると、ホストの管理オーバーヘッドが軽減されます。個々の TLS パラメータを手動で構成する必要はなくなりましたが、その機能は必要に応じて引き続き使用できます。TLS プロファイルを使用すると、サポートも大幅に向上します。パラメータを TLS プロファイルにグループ化することで、選択の対象となる VMware 検証済みの TLS ソリューションのセットが簡素化されます。ESXi では、TLS プロファイルが vSphere Configuration Profiles と統合されます。
提供される ESXi の TLS プロファイルは次のとおりです。
- COMPATIBLE:デフォルトのプロファイルです。このプロファイル内のパラメータの正確なマッピングはリリースごとに変更される可能性がありますが、プロファイルはサポート対象のすべての製品およびバージョン(現在は N-2 バージョン)との互換性が保証されています。つまり、COMPATIBLE プロファイルを使用するリリース N の ESXi ホストは、リリース N-2 のホストと通信できます。
- NIST_2024:NIST 2024 標準を明確にサポートする、より制限の厳しいプロファイル。このプロファイル内のパラメータの正確なマッピングは、リリース間で NIST 2024 標準を満たすことが保証されています。このプロファイルは、現在のリリースまたは新しいリリースとのみ互換性があり、古いリリースとは互換性がありません。
- MANUAL:このプロファイルを使用して、TLS パラメータを手動で指定するアドホック構成を作成およびテストします。MANUAL プロファイルがエラーなしの状態で機能することは保証されていません。複数のソフトウェアのアップグレード間を含め、MANUAL プロファイルをテストする必要があります。MANUAL プロファイルの使用を選択すると、最初にシステムの動作が以前に選択したデフォルトのプロファイル(COMPATIBLE または NIST_2024)に設定され、変更を加えるまでそのままになります。MANUAL TLS プロファイルを管理するには、
esxcli
コマンドを使用する必要があります。MANUAL TLS プロファイル内のパラメータの変更の詳細については、esxcli
に付属のヘルプ テキストを参照してください。
TLS プロファイルを目的の状態に構成する場合は、ESXi ホストを再起動するか、ESXi ホストが存在する vLCM クラスタを修正して変更を適用する必要があります。
次の表に、vSphere 8.0 Update 3 の ESXi と vCenter Server の TLS プロファイルの詳細を示します。「暗号リスト」列には、TLS 1.2 以前のプロトコルの TLS 暗号が示されています。「暗号」列には、TLS 1.3 プロトコルの暗号が示されています。
TLS プロファイル名 | TLS プロトコルのバージョン | 暗号リスト | 暗号 | 曲線 | VMware のサポート対象かどうか |
---|---|---|---|---|---|
COMPATIBLE | TLS 1.3 および TLS 1.2 | ECDHE+AESGCM:ECDHE+AES | TLS_AES_256_GCM_SHA384、TLS_AES_128_GCM_SHA256 |
prime256v1:secp384r1:secp521r1 | はい |
NIST_2024 | TLS 1.3 および TLS 1.2 | ECDHE+AESGCM | TLS_AES_256_GCM_SHA384、TLS_AES_128_GCM_SHA256 |
prime256v1:secp384r1:secp521r1 | はい |
手動 | 任意 | 任意 | 任意 | 任意 | なし |
メモ:
- サポート対象の設定(プロトコル、暗号リスト、暗号、および曲線)は、サポートされている最大限の内容を表します。
- NIST_2024 プロファイルは、受信接続にのみ適用されます。
- vSphere 8.0 Update 3 で使用される BoringSSL 暗号化モジュールは、TLS 1.3 の使用のための FIPS 認証をまだ取得していません。その結果、ESXi と vCenter Server の両方では、ポート 443(リバース プロキシ)は TLS 1.2 を使用して通信します。COMPATIBLE プロファイルと NIST_2024 TLS プロファイルでは、非 FIPS TLS 1.3 は使用されません。
提供される vCenter Server の TLS 1.3 プロファイルは次のとおりです。
- COMPATIBLE:デフォルトのプロファイルです。このプロファイル内のパラメータの正確なマッピングはリリースごとに変更される可能性がありますが、プロファイルはサポート対象のすべての製品およびバージョン(現在は N-2 バージョン)との互換性が保証されています。
- NIST_2024:NIST 2024 標準を明確にサポートする、より制限の厳しいプロファイル。このプロファイル内のパラメータの正確なマッピングは、リリース間で NIST 2024 標準を満たすことが保証されています。このプロファイルは、現在のリリースまたは新しいリリースとのみ互換性があり、古いリリースとは互換性がありません。
- COMPATIBLE-NON-FIPS:Envoy プロキシからの非 FIPS TLS 1.3 接続を許可する変更済みのプロファイルです。FIPS は有効になりません。
TLS プロファイル名 | TLS プロトコルのバージョン | 暗号 | 曲線 | FIPS が有効かどうか | VMware のサポート対象かどうか |
---|---|---|---|---|---|
COMPATIBLE | TLS 1.3 | TLS_AES_256_GCM_SHA384、TLS_AES_128_GCM_SHA256 |
prime256v1:secp384r1:secp521r1 | はい | はい |
TLS 1.2 | ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-GCM-SHA256 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES128-SHA AES256-SHA AES128-SHA |
||||
NIST_2024 | TLS 1.3 | TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256 | prime256v1:secp384r1:secp521r1 | はい | はい |
TLS 1.2 | ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 |
||||
COMPATIBLE-NON-FIPS | TLS 1.3 | TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256 | prime256v1:secp384r1:secp521r1 | なし | はい |
TLS 1.2 | ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-GCM-SHA256 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES128-SHA AES256-SHA AES128-SHA |
ESXi と vCenter Server での TLS および受信/送信接続
ESXi 8.0 Update 3 では、受信(サーバ)接続と送信(クライアント)接続の両方で TLS 1.3 がサポートされます。ESXi 受信(サーバ)接続が最も懸念され、より制限の厳しい NIST_2024 プロファイルが適用されます。
ESXi の場合は、受信(サーバ)接続で COMPATIBLE、NIST_2024、MANUAL の設定を使用できます。送信(クライアント)接続では、COMPATIBLE 設定と MANUAL 設定を使用できます。
vCenter Server の TLS プロファイルは、受信接続と送信接続の両方に設定を適用します。
一部の vSphere サービスは TLS 接続を受け入れるポートを公開しますが、ほとんどのサービスはリバース プロキシを使用します。すべての受信接続は、デフォルトで TLS 1.2 と TLS 1.3 を受け入れます。現在、ポート 443(リバース プロキシ)では TLS 1.3 が無効になっており、通信には TLS 1.2 が使用されます。送信接続では TLS 1.2 と TLS 1.3 がサポートされます。詳細については、「ESXi および FIPS のポート 443 での TLS 1.3」を参照してください。
TLS とライフサイクル管理
ESXi ホストまたは vCenter Server ホストを 8.0 Update 3 にアップグレードまたは移行すると、COMPATIBLE TLS プロファイルがデフォルトで有効になります。vSphere 8.0 Update 3 では、特別な設定が不要な最小限の相互運用性を確保するために TLS 1.3 と TLS 1.2 がサポートされます。今後、新しいバージョンの ESXi または vCenter Server にアップグレードすると、現在使用されている TLS プロファイルが(廃止されない限り)保持されます。
新しいバージョンにアップグレードする場合は、推奨されるベスト プラクティスとして、まず TLS プロファイルを COMPATIBLE に設定します。
vSphere 8.0 Update 3 にアップグレードする前にローカル サービス レベルの編集を行うと、それらの変更は反映されず、アップグレード後はホストに COMPATIBLE プロファイルが割り当てられます。ホストにこれらの変更を反映させるには、MANUAL プロファイルを使用するように切り替えます。vSphere Client を使用した ESXi ホストの TLS プロファイルの変更またはCLI を使用した ESXi ホストの TLS プロファイルの変更を参照してください。
ESXi および FIPS のポート 443 での TLS 1.3
現在、vSphere ではポート 443 で TLS 1.3 が無効になっています。vSphere 8.0 Update 3 で使用される BoringSSL 暗号化モジュールのバージョンは、TLS 1.3 用の FIPS 認証を取得していません。COMPATIBLE または NIST_2024 TLS プロファイルを使用する場合、443 を除くすべてのポートは TLS 1.3 を使用して通信します。現時点では、この問題のため、ポート 443 では TLS 1.2 が使用されます。
ポート 443 で非 FIPS TLS 1.3 を有効にするには、VMware ナレッジベースの記事 (https://kb.vmware.com/s/article/92473) を参照してください。