vSphere는 기본적으로 TLS만 활성화합니다. TLS 1.0 및 TLS 1.1은 기본적으로 비활성화되어 있습니다. 새로 설치하든 업그레이드하든 마이그레이션하든 관계없이 vSphere에서는 TLS 1.0과 TLS 1.1이 비활성화됩니다. TLS 구성 유틸리티를 사용하여 vCenter Server 시스템에서 일시적으로 이전 버전의 프로토콜을 활성화할 수 있습니다. 그런 다음 모든 연결에 TLS 1.2가 사용된 후에 보안이 더 낮은 이전 버전을 비활성화할 수 있습니다.

ESXi 8.0부터 TLS 1.2만 지원됩니다. ESXi 8.0은 더 이상 TLS 1.0 및 1.1을 지원하지 않으며 이러한 이전 프로토콜 버전을 활성화할 수도 없습니다. ESXi 8.0에서 TLS 구성 유틸리티를 실행하면 오류가 보고되지 않고 실패합니다.

vCenter Server에서 이전 프로토콜 버전의 재구성을 수행하기 전에 환경을 고려하십시오. 환경 요구 사항 및 소프트웨어 버전에 따라 상호 운용성을 유지하기 위해 TLS 1.2 이외에 TLS 1.0과 TLS 1.1을 다시 활성화해야 할 수도 있습니다. TLS 1.2를 지원하는 VMware 제품에 대해서는 https://kb.vmware.com/s/article/2145796에서 VMware 기술 자료 문서를 참조하십시오. 타사 통합의 해당 벤더의 설명서를 참조하십시오. TLS 구성 유틸리티는 vSphere 8.0을 비롯하여 7.0, 6.7, 6.5 및 6.0을 포함한 이전 릴리스에서 작동합니다.

vCenter Server는 TLS 프로토콜에 대해 활성화 또는 비활성화할 수 있는 포트를 사용합니다. TLS 구성 유틸리티 scan 옵션은 각 서비스에 대해 활성화된 TLS 버전을 표시합니다. vCenter Server에서 TLS 프로토콜 검색의 내용을 참조하십시오.

vSphere 및 vSAN을 포함한 VMware 제품의 지원되는 모든 포트 및 프로토콜 목록은 https://ports.vmware.com/에서 VMware Ports and Protocols Tool™을 참조하십시오. VMware 제품별로 포트를 검색하고, 사용자 지정된 포트 목록을 생성하고, 포트 목록을 인쇄하거나 저장할 수 있습니다.

vCenter Server 및 엔보이

vSphere 7.0 이상에서 vCenter Server는 두 가지 역방향 프록시 서비스를 실행합니다.

  • VMware 역방향 프록시 서비스, rhttpproxy
  • 엔보이

엔보이는 오픈 소스 Edge 및 서비스 프록시입니다. 엔보이는 포트 443을 소유하며, 들어오는 모든 vCenter Server 요청은 엔보이를 통해 라우팅됩니다. vSphere 7.0 이상에서 rhttpproxy는 엔보이를 위한 구성 관리 서버 역할을 합니다. 그 결과 TLS 구성이 rhttpproxy에 적용되고 여기에서 구성을 엔보이에 전송합니다.

vSphere 및 TLS에 대한 참고 사항 및 주의

  • vSphere 6.7 릴리스는 Windows용 vCenter Server의 최종 릴리스입니다. Windows용 vCenter Server에서 Update Manager 포트에 대한 TLS를 다시 구성하는 방법에 대한 자세한 내용은 6.7 제품 버전의 "vSphere 보안" 설명서를 참조하십시오.
  • TLS 1.2를 사용하여 vCenter Server와 외부 Microsoft SQL Server 간의 연결을 암호화할 수 있습니다. 외부 Oracle 데이터베이스에는 TLS 1.2 단독 연결을 사용할 수 없습니다. VMware 기술 자료 문서(https://kb.vmware.com/kb/2149745)를 참조하십시오.
  • vSphere 6.7 이전 릴리스의 경우, Windows Server 2008에서 실행되는 vCenter Server 또는 Platform Services Controller 인스턴스에서 TLS 1.0을 비활성화하지 마십시오. Windows 2008은 TLS 1.0만 지원합니다. Microsoft TechNet 문서 "서버 역할 및 기술 가이드" 의 "TLS/SSL 설정" 을 참조하십시오.

선택적 vCenter Server TLS 수동 백업 수행

TLS 구성 유틸리티는 스크립트를 통해 vCenter Server가 수정될 때마다 TLS 구성의 백업을 수행합니다. 특정 디렉토리에 백업을 저장해야 할 경우 수동 백업을 수행할 수 있습니다.

vCenter Server의 경우 기본 디렉토리는 /tmp/yearmonthdayTtime입니다.

프로시저

  1. SSH를 사용하여 vCenter Server에 연결합니다.
  2. 디렉토리를 /usr/lib/vmware-TlsReconfigurator/VcTlsReconfigurator로 변경합니다.
  3. 특정 디렉토리에 백업하려면 다음 명령을 실행합니다. 
    directory_path/VcTlsReconfigurator> ./reconfigureVc backup -d backup_directory_path
  4. 백업이 성공적으로 완료되었는지 확인합니다.
    백업에 성공하면 다음 예와 유사하게 표시됩니다. reconfigureVc backup 명령이 실행되는 방식 때문에 이 명령을 실행할 때마다 표시되는 서비스 순서가 다를 수 있습니다. 
    vCenter Transport Layer Security reconfigurator, version=8.0.0, build=10068142
For more information refer to the following article: https://kb.vmware.com/kb/2147469
Log file: "/var/log/vmware/vSphere-TlsReconfigurator/VcTlsReconfigurator.log".
================= Backing up vCenter Server TLS configuration ==================
Using backup directory: /tmp/20220714T225653
Backing up: vmcam
Backing up: vmdird
Backing up: vmware-rhttpproxy
Backing up: vmware-stsd
Backing up: vami-lighttp
Backing up: vmware-rbd-watchdog
Backing up: rsyslog
Backing up: vmware-updatemgr
Backing up: vmware-sps
Backing up: vmware-vpxd
  5. (선택 사항) 이후에 복원을 수행해야 할 경우 다음 명령을 실행할 수 있습니다. 
    reconfigureVc restore -d optional_custom_backup_directory_path

vCenter Server 시스템에서 TLS 버전 활성화 또는 비활성화

TLS 구성 유틸리티를 사용하여 vCenter Server 시스템에서 TLS 버전을 활성화하거나 비활성화할 수 있습니다. 프로세스의 일부로 TLS 1.0을 비활성화하고 TLS 1.1 및 TLS 1.2를 활성화하거나, TLS 1.0 및 TLS 1.1을 비활성화하고 TLS 1.2만 활성화할 수 있습니다.

사전 요구 사항

vCenter Server에서 관리하는 호스트와 서비스가 활성화된 상태로 유지되는 TLS 버전을 사용하여 통신할 수 있는지 확인합니다. TLS 1.0만 사용하여 통신하는 제품의 경우 연결이 불가능합니다.

프로시저

  1. Administrator@vsphere.local 또는 스크립트를 실행할 수 있는 vCenter Single Sign-On 관리자 그룹에 속한 다른 멤버의 사용자 이름과 암호를 사용하여 vCenter Server 시스템에 로그인합니다.
  2. 스크립트가 있는 디렉토리로 이동합니다. 
    cd /usr/lib/vmware-TlsReconfigurator/VcTlsReconfigurator
  3. 사용할 TLS 버전에 따라 명령을 실행합니다.
    • TLS 1.0을 비활성화하고 TLS 1.1과 TLS 1.2를 모두 활성화하려면 다음 명령을 실행합니다. 
      directory_path/VcTlsReconfigurator> ./reconfigureVc update -p TLSv1.1 TLSv1.2
    • TLS 1.0 및 TLS 1.1을 비활성화하고 TLS 1.2만 활성화하려면 다음 명령을 실행합니다. 
      directory_path/VcTlsReconfigurator> ./reconfigureVc update -p TLSv1.2
  4. 다른 vCenter Server 시스템이 환경에 포함되어 있는 경우 각 vCenter Server 시스템에서 이 프로세스를 반복합니다.

vCenter Server에서 TLS 프로토콜 검색

vCenter Server에서 TLS 버전을 활성화 또는 비활성화한 후 TLS 구성 유틸리티를 사용하여 변경 사항을 확인할 수 있습니다.

TLS 구성 유틸리티 scan 옵션은 각 서비스에 대해 활성화된 TLS 버전을 표시합니다.

프로시저

  1. vCenter Server 시스템에 로그인합니다.
    1. SSH를 사용하여 장치에 연결하고 스크립트를 실행할 수 있는 권한이 있는 사용자로 로그인합니다.
    2. bash 셸이 현재 사용되지 않는 경우 다음 명령을 실행합니다. 
      shell.set --enabled true
shell
  2. VcTlsReconfigurator 디렉토리로 이동합니다. 
    cd /usr/lib/vmware-TlsReconfigurator/VcTlsReconfigurator
  3. TLS가 활성화된 서비스와 사용되는 포트를 표시하려면 다음 명령을 실행합니다. 
    reconfigureVc scan

vCenter Server TLS 구성 변경 내용 되돌리기

TLS 구성 유틸리티를 사용하여 구성 변경 내용을 되돌릴 수 있습니다. 변경 내용을 되돌리면, 시스템에서 TLS 구성 유틸리티를 사용하여 비활성화한 프로토콜이 활성화됩니다.

사전 요구 사항

변경 내용을 되돌리기 전에 vCenter Server 관리 인터페이스를 사용하여 vCenter Server의 백업을 수행합니다.

프로시저

  1. 변경 내용을 스크립트를 실행할 수 있는 권한을 가진 사용자로 되돌릴 수 있는 vCenter Server에 연결합니다.
  2. Bash 셸이 현재 사용되지 않는 경우 다음 명령을 실행합니다. 
    shell.set --enabled true
shell
  3. VcTlsReconfigurator 디렉토리로 이동합니다. 
    cd /usr/lib/vmware-TlsReconfigurator/VcTlsReconfigurator
  4. 이전 백업을 검토합니다. 
    grep "backup directory" /var/log/vmware/vSphere-TlsReconfigurator/VcTlsReconfigurator.log
    출력은 다음 예와 비슷합니다. 
    2022-07-14T22:56:53.706Z INFO Using backup directory: /tmp/20220714T225653
2022-07-14T22:58:08.594Z INFO Using backup directory: /tmp/20220714T225808
  5. 복원을 수행하려면 다음 명령을 실행합니다. 
    reconfigureVc restore -d Directory_path_from_previous_step
    TLS 구성이 복원됩니다. 프로세스의 일부로 vCenter Server가 다시 시작됩니다.
  6. 다른 vCenter Server 인스턴스에서 이 절차를 반복합니다.