vSphere 8.0 Update 3 以降では、TLS プロファイルを使用して TLS 1.3 および 1.2 がサポートされます。TLS プロファイルを使用すると、TLS パラメータの管理作業が簡素化され、サポートも向上します。

vSphere 8.0 Update 3 では、ESXi ホストと vCenter Server ホストで COMPATIBLE という名前のデフォルトの TLS プロファイルが有効になります。COMPATIBLE プロファイルは TLS 1.3 および一部の TLS 1.2 接続をサポートします。

vSphere Configuration Profiles または esxcli コマンドを使用して、ESXi ホストの TLS プロファイルを管理できます。vCenter Server ホストでは、API を使用して TLS プロファイルを管理できます。たとえば、vSphere Client でデベロッパー センターを使用できます。『vSphere Automation SDKs Programming Guide』および『vSphere Automation REST API Programming Guide』を参照してください。

vCenter Server と Envoy

vCenter Server は、次の 2 つのリバース プロキシ サービスを実行します。

  • VMware リバース プロキシ サービスである rhttpproxy
  • Envoy

Envoy はオープン ソースのエッジおよびサービス プロキシです。Envoy はポート 443 を占有し、すべての受信 vCenter Server 要求は Envoy を経由してルーティングされます。rhttpproxy は Envoy の構成管理サーバとして機能します。その結果、TLS 構成が rhttpproxy に適用され、そこから構成が Envoy に送信されます。

vSphere が TLS プロファイルを使用して TLS を実装する方法

vSphere 8.0 Update 3 では、プロトコル バージョン、グループ(曲線とも呼ばれます)、暗号などのパラメータを 1 つの TLS プロファイルにグループ化して TLS 1.3 を実装します。この TLS プロファイルはシステム全体に適用されます。単一の TLS プロファイルを使用すると、ホストの管理オーバーヘッドが軽減されます。個々の TLS パラメータを手動で構成する必要はなくなりましたが、その機能は必要に応じて引き続き使用できます。TLS プロファイルを使用すると、サポートも大幅に向上します。パラメータを TLS プロファイルにグループ化することで、選択の対象となる VMware 検証済みの TLS ソリューションのセットが簡素化されます。ESXi では、TLS プロファイルが vSphere Configuration Profiles と統合されます。

提供される ESXi の TLS プロファイルは次のとおりです。

  • COMPATIBLE:デフォルトのプロファイルです。このプロファイル内のパラメータの正確なマッピングはリリースごとに変更される可能性がありますが、プロファイルはサポート対象のすべての製品およびバージョン(現在は N-2 バージョン)との互換性が保証されています。つまり、COMPATIBLE プロファイルを使用するリリース N の ESXi ホストは、リリース N-2 のホストと通信できます。
  • NIST_2024:NIST 2024 標準を明確にサポートする、より制限の厳しいプロファイル。このプロファイル内のパラメータの正確なマッピングは、リリース間で NIST 2024 標準を満たすことが保証されています。このプロファイルは、現在のリリースまたは新しいリリースとのみ互換性があり、古いリリースとは互換性がありません。
  • MANUAL:このプロファイルを使用して、TLS パラメータを手動で指定するアドホック構成を作成およびテストします。MANUAL プロファイルがエラーなしの状態で機能することは保証されていません。複数のソフトウェアのアップグレード間を含め、MANUAL プロファイルをテストする必要があります。MANUAL プロファイルの使用を選択すると、最初にシステムの動作が以前に選択したデフォルトのプロファイル(COMPATIBLE または NIST_2024)に設定され、変更を加えるまでそのままになります。MANUAL TLS プロファイルを管理するには、esxcli コマンドを使用する必要があります。MANUAL TLS プロファイル内のパラメータの変更の詳細については、esxcli に付属のヘルプ テキストを参照してください。

TLS プロファイルを目的の状態に構成する場合は、ESXi ホストを再起動するか、ESXi ホストが存在する vLCM クラスタを修正して変更を適用する必要があります。

次の表に、vSphere 8.0 Update 3 の ESXivCenter Server の TLS プロファイルの詳細を示します。「暗号リスト」列には、TLS 1.2 以前のプロトコルの TLS 暗号が示されています。「暗号」列には、TLS 1.3 プロトコルの暗号が示されています。

表 1. ESXi の TLS 1.3 プロファイル
TLS プロファイル名 TLS プロトコルのバージョン 暗号リスト 暗号 曲線 VMware のサポート対象かどうか
COMPATIBLE TLS 1.3 および TLS 1.2 ECDHE+AESGCM:ECDHE+AES

TLS_AES_256_GCM_SHA384、TLS_AES_128_GCM_SHA256

prime256v1:secp384r1:secp521r1 はい
NIST_2024 TLS 1.3 および TLS 1.2 ECDHE+AESGCM

TLS_AES_256_GCM_SHA384、TLS_AES_128_GCM_SHA256

prime256v1:secp384r1:secp521r1 はい
手動 任意 任意 任意 任意 なし

メモ:

  • サポート対象の設定(プロトコル、暗号リスト、暗号、および曲線)は、サポートされている最大限の内容を表します。
  • NIST_2024 プロファイルは、受信接続にのみ適用されます。
  • vSphere 8.0 Update 3 で使用される BoringSSL 暗号化モジュールは、TLS 1.3 の使用のための FIPS 認証をまだ取得していません。その結果、ESXivCenter Server の両方では、ポート 443(リバース プロキシ)は TLS 1.2 を使用して通信します。COMPATIBLE プロファイルと NIST_2024 TLS プロファイルでは、非 FIPS TLS 1.3 は使用されません。

提供される vCenter Server の TLS 1.3 プロファイルは次のとおりです。

  • COMPATIBLE:デフォルトのプロファイルです。このプロファイル内のパラメータの正確なマッピングはリリースごとに変更される可能性がありますが、プロファイルはサポート対象のすべての製品およびバージョン(現在は N-2 バージョン)との互換性が保証されています。
  • NIST_2024:NIST 2024 標準を明確にサポートする、より制限の厳しいプロファイル。このプロファイル内のパラメータの正確なマッピングは、リリース間で NIST 2024 標準を満たすことが保証されています。このプロファイルは、現在のリリースまたは新しいリリースとのみ互換性があり、古いリリースとは互換性がありません。
  • COMPATIBLE-NON-FIPS:Envoy プロキシからの非 FIPS TLS 1.3 接続を許可する変更済みのプロファイルです。FIPS は有効になりません。
表 2. vCenter Server の TLS 1.3 プロファイル
TLS プロファイル名 TLS プロトコルのバージョン 暗号 曲線 FIPS が有効かどうか VMware のサポート対象かどうか
COMPATIBLE TLS 1.3

TLS_AES_256_GCM_SHA384、TLS_AES_128_GCM_SHA256

prime256v1:secp384r1:secp521r1 はい はい
TLS 1.2

ECDHE-RSA-AES256-GCM-SHA384

ECDHE-RSA-AES128-GCM-SHA256

ECDHE-ECDSA-AES256-GCM-SHA384

ECDHE-ECDSA-AES128-GCM-SHA256

AES256-GCM-SHA384

AES128-GCM-SHA256

ECDHE-RSA-AES256-SHA

ECDHE-RSA-AES128-SHA

ECDHE-ECDSA-AES256-SHA

ECDHE-ECDSA-AES128-SHA

AES256-SHA

AES128-SHA

NIST_2024 TLS 1.3 TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256 prime256v1:secp384r1:secp521r1 はい はい
TLS 1.2

ECDHE-RSA-AES256-GCM-SHA384

ECDHE-RSA-AES128-GCM-SHA256

ECDHE-ECDSA-AES256-GCM-SHA384

ECDHE-ECDSA-AES128-GCM-SHA256

COMPATIBLE-NON-FIPS TLS 1.3 TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256 prime256v1:secp384r1:secp521r1 なし はい
TLS 1.2

ECDHE-RSA-AES256-GCM-SHA384

ECDHE-RSA-AES128-GCM-SHA256

ECDHE-ECDSA-AES256-GCM-SHA384

ECDHE-ECDSA-AES128-GCM-SHA256

AES256-GCM-SHA384

AES128-GCM-SHA256

ECDHE-RSA-AES256-SHA

ECDHE-RSA-AES128-SHA

ECDHE-ECDSA-AES256-SHA

ECDHE-ECDSA-AES128-SHA

AES256-SHA

AES128-SHA

ESXivCenter Server での TLS および受信/送信接続

ESXi 8.0 Update 3 では、受信(サーバ)接続と送信(クライアント)接続の両方で TLS 1.3 がサポートされます。ESXi 受信(サーバ)接続が最も懸念され、より制限の厳しい NIST_2024 プロファイルが適用されます。

ESXi の場合は、受信(サーバ)接続で COMPATIBLE、NIST_2024、MANUAL の設定を使用できます。送信(クライアント)接続では、COMPATIBLE 設定と MANUAL 設定を使用できます。

vCenter Server の TLS プロファイルは、受信接続と送信接続の両方に設定を適用します。

一部の vSphere サービスは TLS 接続を受け入れるポートを公開しますが、ほとんどのサービスはリバース プロキシを使用します。すべての受信接続は、デフォルトで TLS 1.2 と TLS 1.3 を受け入れます。現在、ポート 443(リバース プロキシ)では TLS 1.3 が無効になっており、通信には TLS 1.2 が使用されます。送信接続では TLS 1.2 と TLS 1.3 がサポートされます。詳細については、「ESXi および FIPS のポート 443 での TLS 1.3」を参照してください。

TLS とライフサイクル管理

ESXi ホストまたは vCenter Server ホストを 8.0 Update 3 にアップグレードまたは移行すると、COMPATIBLE TLS プロファイルがデフォルトで有効になります。vSphere 8.0 Update 3 では、特別な設定が不要な最小限の相互運用性を確保するために TLS 1.3 と TLS 1.2 がサポートされます。今後、新しいバージョンの ESXi または vCenter Server にアップグレードすると、現在使用されている TLS プロファイルが(廃止されない限り)保持されます。

新しいバージョンにアップグレードする場合は、推奨されるベスト プラクティスとして、まず TLS プロファイルを COMPATIBLE に設定します。

vSphere 8.0 Update 3 にアップグレードする前にローカル サービス レベルの編集を行うと、それらの変更は反映されず、アップグレード後はホストに COMPATIBLE プロファイルが割り当てられます。ホストにこれらの変更を反映させるには、MANUAL プロファイルを使用するように切り替えます。vSphere Client を使用した ESXi ホストの TLS プロファイルの変更またはCLI を使用した ESXi ホストの TLS プロファイルの変更を参照してください。

注意: MANUAL TLS プロファイルは、複数のアップグレードにわたってエラーのない動作を保証するものではありません。編集された MANUAL TLS プロファイルが複数のリリース間で機能することを確認するか、COMPATIBLE TLS プロファイルに切り替える必要があります。

ESXi および FIPS のポート 443 での TLS 1.3

現在、vSphere ではポート 443 で TLS 1.3 が無効になっています。vSphere 8.0 Update 3 で使用される BoringSSL 暗号化モジュールのバージョンは、TLS 1.3 用の FIPS 認証を取得していません。COMPATIBLE または NIST_2024 TLS プロファイルを使用する場合、443 を除くすべてのポートは TLS 1.3 を使用して通信します。現時点では、この問題のため、ポート 443 では TLS 1.2 が使用されます。

ポート 443 で非 FIPS TLS 1.3 を有効にするには、VMware ナレッジベースの記事 (https://kb.vmware.com/s/article/92473) を参照してください。