vSphere TLS の管理

vSphere 8.0 Update 3 以降では、vSphere Client、esxcli コマンド、または API を使用して、ESXi の TLS プロファイルを管理できます。vCenter Server では、API を使用して TLS プロファイルを管理します。

vSphere Configuration Profiles を使用する場合は、ESXi ホストの TLS 設定を vLCM クラスタレベルで管理できます。クラスタの TLS 設定を変更し、この新しい構成を基準にしてクラスタを修正できます。詳細については、『ホストとクラスタのライフサイクルの管理』ドキュメントの vSphere Configuration Profiles の管理に関する章を参照してください。

スタンドアローンの ESXi ホストおよび非 vLCM クラスタの場合は、esxcli コマンドを使用して TLS プロファイルを管理する必要があります。『ESXCLI の概念と範例』ドキュメントおよび esxcli のオンラインヘルプを参照してください。

現在、vCenter Server の TLS プロファイルを管理するには API を使用する必要があります。『vSphere Automation SDKs Programming Guide』および『vSphere Automation REST API Programming Guide』を参照してください。

vSphere Client を使用した ESXi ホストの TLS プロファイルの表示

vSphere Client を使用すると、vLCM クラスタの一部である ESXi ホストの TLS プロファイルを表示できます。

vSphere Configuration Profiles で設定が明示的に構成されていない場合は、該当するプロファイルのデフォルト値が使用されます。TLS プロファイルのデフォルト値は [互換性あり]です。

スタンドアローンホストまたは非 vLCM クラスタ ESXi ホストの TLS プロファイルを表示するには、CLI を使用した ESXi ホストの TLS プロファイルの表示を参照してください。

前提条件

vSphere Configuration Profiles を有効にして、クラスタのドラフト構成を作成しました。『ホストとクラスタのライフサイクルの管理』ドキュメントを参照してください。

手順

vSphere Client で、単一のイメージを使用して管理する vLCM クラスタに移動します。
[構成]タブで、[目的の状態] > [構成] の順にクリックします。
[設定] タブで [システム] をクリックします。
[tls_client] または [tls_server] をクリックして、現在の目的の構成ドキュメントで定義されている TLS プロファイルを表示します。

CLI を使用した ESXi ホストの TLS プロファイルの表示

CLI を使用すると、現在構成されている、ESXi ホストの TLS プロファイルを表示できます。

スタンドアローンの ESXi ホストおよび非 vLCM クラスタの場合は、esxcli コマンドを使用して TLS プロファイルを管理する必要があります。詳細については、ESXCLI のリファレンスを参照してください。vLCM クラスタ内の ESXi ホストの場合は、vSphere Configuration Profiles または esxcli コマンドのいずれかを使用できます。

前提条件

ESXi ホストで、SSH または ESXi Shell を有効にします。

手順

ESXi ホストに接続します。
SSH または ESXi Shell を使用できます。
現在構成されている TLS プロファイルを表示するには、次のコマンドを実行します。
```
esxcli system tls [client | server] get
```
現在構成されている TLS プロファイルのパラメータを表示するには、次のコマンドを実行します。
```
esxcli system tls [client | server] get --show-profile-defaults
```

vSphere Client を使用した ESXi ホストの TLS プロファイルの変更

ESXi ホストの TLS プロファイルを変更できます。デフォルトの TLS プロファイルは COMPATIBLE です。

前提条件

手順

vSphere Client で、単一のイメージを使用して管理するクラスタに移動します。
[構成]タブで、[目的の状態] > [構成] の順にクリックします。
[設定] タブで [システム] をクリックします。
[tls_client] または [tls_server] をクリックします。
設定が変更済みであるかどうかに応じて、 [設定]または [編集] をクリックします。
ドロップダウンから TLS プロファイルを選択します。
[保存] をクリックします。
ドラフト構成を基準にしてクラスタを修正します。
1. ドラフト構成を基準にしてクラスタを修正するには、[ドラフト] タブで [変更を適用] をクリックします。
2. [修正] ウィザードの手順に従います。詳細については、『ホストとクラスタのライフサイクルの管理』を参照してください。

結果

クラスタ内のすべての ESXi ホストが、目的の構成に準拠した状態になります。

CLI を使用した ESXi ホストの TLS プロファイルの変更

ESXi ホストの TLS プロファイルを変更できます。デフォルトの TLS プロファイルは COMPATIBLE です。

前提条件

ESXi ホストで、SSH または ESXi Shell を有効にします。

手順

ESXi ホストに接続します。
SSH または ESXi Shell を使用できます。
ESXi ホストをメンテナンスモードにします。
TLS プロファイルを変更するには、次のコマンドを実行します。
```
esxcli system tls [client | server] set --profile [COMPATIBLE | NIST_2024 | MANUAL]
```
注： TLS パラメータを変更する（システムレベルまたはサービスレベルで）場合は、MANUAL プロファイルを選択します。
ESXi ホストを再起動して、変更内容を有効にします。
ESXi ホストが再起動したら、メンテナンスモードを終了します。

CLI を使用した MANUAL TLS プロファイルのパラメータの編集

MANUAL TLS プロファイルのパラメータのセットを編集できます。暗号リストや暗号スイートなどの TLS パラメータを変更するには、まず TLS プロファイルを MANUAL に設定する必要があります。

注意: Broadcom は、MANUAL TLS プロファイルをサポートしていません。COMPATIBLE AND NIST_2024 TLS プロファイルのみがサポートされています。MANUAL TLS プロファイルは、自己責任で使用してください。

MANUAL TLS プロファイルのパラメータは、esxcli コマンドを使用して管理する必要があります。MANUAL TLS プロファイルパラメータの管理は、vSphere Configuration Profiles とは統合されていません。

個々の vSphere サービスに TLS パラメータを設定することはできません。MANUAL TLS プロファイルを使用して行った変更は、システムレベルで適用されます。

前提条件

ESXi ホストで、SSH または ESXi Shell を有効にします。

TLS プロファイルを MANUAL に変更します。「vSphere Client を使用した ESXi ホストの TLS プロファイルの変更」または「CLI を使用した ESXi ホストの TLS プロファイルの変更」を参照してください。

手順

ESXi ホストに接続します。
SSH または ESXi Shell を使用できます。
ESXi ホストをメンテナンスモードにします。
TLS プロファイルが MANUAL であることを確認します。
```
esxcli system tls [client | server] get
```
パラメータを変更するには、次のいずれかのコマンドを実行します。
```
esxcli system tls [client | server] set --cipher-list=str
esxcli system tls [client | server] set --cipher-suite=str
esxcli system tls [client | server] set --groups=str
esxcli system tls [client | server] set --protocol-versions=str
```
ここで、str は OpenSSL スタイルの文字列であり、区切り文字はコロン、コンマ、またはスペースです。例： --cipher-list=ECDHE+AESGCM:ECDHE+AES

詳細については、次のコマンドを実行してください。
```
esxcli system tls [client | server] set --help
```
ESXi ホストを再起動して、変更内容を有効にします。
ESXi ホストが再起動したら、メンテナンスモードを終了します。

例

次の例では、まず TLS プロファイルを MANUAL に設定してから、より制限の厳しい曲線のセット（グループ）を設定します。変更を有効にするには、再起動が必要になります。

[root@host1] esxcli system tls server get
   Profile: COMPATIBLE
   Cipher List: <profile default>
   Cipher Suite: <profile default>
   Groups: <profile default>
   Protocol Versions: <profile default>
   Reboot Required: false
[root@host1] esxcli system tls server set --profile MANUAL
[root@host1] esxcli system tls server get
   Profile: MANUAL
   Cipher List: ECDHE+AESGCM:ECDHE+AES
   Cipher Suite: TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384
   Groups: prime256v1:secp384r1:secp521r1
   Protocol Versions: tls1.2,tls1.3
   Reboot Required: true
[root@host1] esxcli system tls server set --groups=prime256v1:secp384r1
[root@host1] esxcli system tls server get
   Profile: MANUAL
   Cipher List: TLS_AES_128_CCM_SHA256
   Cipher Suite: TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384
   Groups: prime256v1:secp384r1
   Protocol Versions: tls1.2,tls1.3
   Reboot Required: true

vCenter Server ホストの TLS プロファイルの管理

API を使用して、vCenter Server ホストの TLS プロファイルを表示および変更します。

さまざまな方法を使用して HTTP 要求を実行できます。このタスクでは、vSphere Client のデベロッパーセンターを使用して TLS プロファイルを管理する方法を示します。API を使用して vCenter Server Appliance を管理する方法の詳細については、『VMware vCenter Server Management Programming Guide』を参照してください。

手順

vSphere Client で vCenter Server にログインします。
メニューから、[デベロッパーセンター] を選択します。
[API Explorer] をクリックします。

[API を選択] ドロップダウンで、[アプライアンス] を選択します。

次の API カテゴリとアクションを使用できます。

表 1. vCenter Server TLS API
オプション	API カテゴリ	関連付けられているアクション
すべての TLS プロファイルとその構成のリストを取得します。	tls/profiles/	GET
特定の TLS プロファイルのパラメータを取得します。	tls/profiles/{id}	GET
グローバルに構成されている現在の TLS プロファイルの名前を取得します。	tls/profiles/global/	GET
グローバルに指定する標準プロファイルの 1 つを設定します。	tls/profiles/global/	PUT 注：このアクションにより、 vCenter Server サービスが再起動されます。
グローバルに構成されている現在の TLS プロファイルのパラメータを取得します。	tls/manual-parameters/global	GET

注：現在、 vCenter Server TLS プロファイルのパラメータを変更することはできません。

目的のコマンドを実行します。