TLS 구성 유틸리티를 사용하여 ESXi 호스트에서 TLS 버전을 사용하지 않도록 설정할 수 있습니다. 프로세스의 일부로 TLS 1.0을 사용하지 않도록 설정하고 TLS 1.1 및 TLS 1.2를 사용하도록 설정하거나, TLS 1.0 및 TLS 1.1을 사용하지 않도록 설정하고 TLS 1.2만 사용하도록 설정할 수 있습니다.
ESXi 호스트의 경우 vSphere 환경의 나머지 구성 요소와 다른 유틸리티를 사용합니다. 이 유틸리티는 해당 릴리스 전용이며 이전 릴리스에는 사용할 수 없습니다.
스크립트를 작성하여 여러 호스트를 구성할 수 있습니다.
사전 요구 사항
ESXi 호스트와 연결된 모든 제품 또는 서비스가 TLS 1.1 또는 TLS 1.2를 사용하여 통신할 수 있는지 확인합니다. TLS 1.0만 사용하여 통신하는 제품의 경우 연결이 끊깁니다.
vCenter Server Appliance에서 Bash 셸을 사용하도록 설정해야 합니다.
프로시저
- SSH를 사용하여 스크립트를 실행할 수 있는 vCenter Single Sign-On 사용자의 사용자 이름과 암호로 vCenter Server Appliance에 연결합니다.
- Bash 셸을 사용하도록 설정하려면 명령줄에 shell을 입력합니다.
- 스크립트가 있는 디렉토리로 이동합니다.
cd /usr/lib/vmware-TlsReconfigurator/EsxTlsReconfigurator
- 클러스터에 속한 ESXi 호스트에서 다음 명령 중 하나를 실행합니다.
- 클러스터에 있는 모든 호스트에서 TLS 1.0을 사용하지 않도록 설정하고 TLS 1.1과 TLS 1.2를 모두 사용하도록 설정하려면 다음 명령을 실행합니다.
./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.1 TLSv1.2
- 클러스터에 있는 모든 호스트에서 TLS 1.0과 TLS 1.1을 사용하지 않도록 설정하고 TLS 1.2만 사용하도록 설정하려면 다음 명령을 실행합니다.
./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.2
- 클러스터에 속하지 않은 개별 호스트의 경우 다음 명령 중 하나를 실행합니다.
- 개별 호스트에 대해 TLS 1.0을 사용하지 않도록 설정하고 TLS 1.1과 TLS 1.2를 모두 사용하도록 설정하려면 다음 명령을 실행합니다.
./reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.1 TLSv1.2
- 개별 호스트에 대해 TLS 1.0과 TLS 1.1을 사용하지 않도록 설정하고 TLS 1.2만 사용하도록 설정하려면 다음 명령을 실행합니다.
./reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.2
참고: 독립형
ESXi 호스트를 재구성하려면
vCenter Server 시스템에 로그인하고
reconfigureEsx 명령을
ESXiHost
-h
HOST
-u
ESXi_USER 옵션과 함께 실행합니다.
HOST 옵션에서 단일
ESXi 호스트의 IP 주소 또는 FQDN이나 호스트 IP 주소 또는 FQDN 목록을 지정할 수 있습니다. 예를 들어
vCenter Server에 로그인하고 다음 명령을 실행하면 두 개의
ESXi 호스트에서 TLS 1.1과 TLS 1.2가 모두 사용되도록 설정됩니다.
./reconfigureEsx ESXiHost -h 198.51.100.2 198.51.100.3 -u root -p TLSv1.1 TLSv1.2
또는 독립형 ESXi 호스트를 재구성하려면 호스트에 로그인하고 UserVars.ESXiVPsDisabledProtocols 고급 설정을 수정하면 됩니다. 자세한 내용은 "vSphere 단일 호스트 관리 - VMware Host Client" 설명서에서 "고급 TLS/SSL 키 옵션 구성" 항목을 참조하십시오.
- ESXi 호스트를 재부팅하여 TLS 프로토콜 변경을 완료합니다.
