vSphere TLS 관리

vSphere 8.0 업데이트 3부터 ESXi, vSphere Client 명령 또는 API를 사용하여 esxcli의 TLS 프로파일을 관리할 수 있습니다. vCenter Server의 경우 API를 사용하여 TLS 프로파일을 관리합니다.

vSphere Configuration Profiles를 사용하는 경우 vLCM 클러스터 수준에서 ESXi 호스트의 TLS 설정을 관리할 수 있습니다. 클러스터의 TLS 설정을 변경하고 이 새 구성에 기반하여 클러스터에 업데이트를 적용할 수 있습니다. 자세한 내용은 "호스트 및 클러스터 수명 주기 관리" 설명서에서 vSphere Configuration Profiles 관리 장을 참조하십시오.

독립형 ESXi 호스트 및 비vLCM 클러스터의 경우 esxcli 명령을 사용하여 TLS 프로파일을 관리해야 합니다. "ESXCLI 개념 및 예제" 설명서 및 esxcli 온라인 도움말을 참조하십시오.

현재 API를 사용하여 vCenter Server TLS 프로파일만 관리할 수 있습니다. "vSphere Automation SDK 프로그래밍 가이드" 및 "vSphere Automation REST API 프로그래밍 가이드" 를 참조하십시오.

vSphere Client를 사용하여 ESXi 호스트의 TLS 프로파일 보기

vSphere Client를 사용하여 vLCM 클러스터에 속한 ESXi 호스트의 TLS 프로파일을 볼 수 있습니다.

vSphere Configuration Profiles에서 명시적으로 구성되지 않은 설정은 해당 프로파일의 기본값을 사용합니다. TLS 프로파일의 경우 기본값은 COMPATIBLE입니다.

독립형 또는 비vLCM 클러스터 ESXi 호스트의 TLS 프로파일을 보려면 CLI를 사용하여 ESXi 호스트의 TLS 프로파일 보기의 내용을 참조하십시오.

사전 요구 사항

vSphere Configuration Profiles를 사용하도록 설정하고 클러스터에 대한 초안 구성을 생성했습니다. "호스트 및 클러스터 수명 주기 관리" 설명서를 참조하십시오.

프로시저

vSphere Client에서 단일 이미지로 관리하는 vLCM 클러스터로 이동합니다.
구성 탭에서 원하는 상태 > 구성을 클릭합니다.
설정 탭에서 시스템을 클릭합니다.
tls_client 또는 tls_server를 클릭하여 현재 원하는 구성 문서에 정의된 TLS 프로파일을 확인합니다.

CLI를 사용하여 ESXi 호스트의 TLS 프로파일 보기

CLI를 사용하여 ESXi 호스트의 현재 구성된 TLS 프로파일을 볼 수 있습니다.

독립형 ESXi 호스트 및 비vLCM 클러스터의 경우 esxcli 명령을 사용하여 TLS 프로파일을 관리해야 합니다. 자세한 내용은 "ESXCLI 참조" 의 내용을 참조하십시오. vLCM 클러스터의 ESXi 호스트의 경우 vSphere Configuration Profiles 또는 esxcli 명령을 사용할 수 있습니다.

사전 요구 사항

ESXi호스트에서 SSH 또는 ESXi Shell을 사용하도록 설정합니다.

프로시저

ESXi 호스트에 연결합니다.
SSH 또는 ESXi Shell을 사용할 수 있습니다.
현재 구성된 TLS 프로파일을 보려면 다음 명령을 실행합니다.
```
esxcli system tls [client | server] get
```
현재 구성된 TLS 프로파일에서 매개 변수를 보려면 다음 명령을 실행합니다.
```
esxcli system tls [client | server] get --show-profile-defaults
```

vSphere Client를 사용하여 ESXi 호스트의 TLS 프로파일 변경

ESXi 호스트의 TLS 프로파일을 변경할 수 있습니다. 기본 TLS 프로파일은 COMPATIBLE입니다.

사전 요구 사항

프로시저

vSphere Client에서 단일 이미지로 관리하는 클러스터로 이동합니다.
구성 탭에서 원하는 상태 > 구성을 클릭합니다.
설정 탭에서 시스템을 클릭합니다.
tls_client 또는 tls_server를 클릭합니다.
설정이 이전에 변경되었는지 여부에 따라 설정 구성 또는 편집을 클릭합니다.
드롭다운 메뉴에서 TLS 프로파일을 선택합니다.
저장을 클릭합니다.
초안 구성에 기반하여 클러스터에 업데이트를 적용합니다.
1. 초안 구성에 기반하여 클러스터에 업데이트를 적용하려면 초안 탭에서 변경 내용 적용을 클릭합니다.
2. 업데이트 적용 마법사의 단계를 따릅니다. 자세한 내용은 "호스트 및 클러스터 수명 주기 관리" 설명서를 참조하십시오.

결과

클러스터의 모든 ESXi 호스트가 원하는 구성을 준수합니다.

CLI를 사용하여 ESXi 호스트의 TLS 프로파일 변경

ESXi 호스트의 TLS 프로파일을 변경할 수 있습니다. 기본 TLS 프로파일은 COMPATIBLE입니다.

사전 요구 사항

ESXi호스트에서 SSH 또는 ESXi Shell을 사용하도록 설정합니다.

프로시저

ESXi 호스트에 연결합니다.
SSH 또는 ESXi Shell을 사용할 수 있습니다.
ESXi 호스트를 유지 보수 모드로 전환합니다.
TLS 프로파일을 변경하려면 다음 명령을 실행합니다.
```
esxcli system tls [client | server] set --profile [COMPATIBLE | NIST_2024 | MANUAL]
```
참고: 시스템 수준 또는 서비스 수준에서 TLS 매개 변수를 변경하려면 MANUAL 프로파일을 선택합니다.
변경 내용이 적용되도록 ESXi 호스트를 재부팅합니다.
ESXi 호스트가 재부팅된 후 유지 보수 모드를 해제합니다.

CLI를 사용하여 MANUAL TLS 프로파일의 매개 변수 편집

MANUAL TLS 프로파일에서 매개 변수 집합을 편집할 수 있습니다. 암호 목록 및 암호 그룹과 같은 TLS 매개 변수를 변경하려면 먼저 TLS 프로파일을 MANUAL로 설정해야 합니다.

경고: Broadcom은 MANUAL TLS 프로파일을 지원하지 않습니다. COMPATIBLE 및 NIST_2024 TLS 프로파일만 지원됩니다. 위험을 감수하고 MANUAL TLS 프로파일을 사용합니다.

esxcli 명령을 사용하여 MANUAL TLS 프로파일에서 매개 변수를 관리해야 합니다. MANUAL TLS 프로파일 매개 변수 관리는 vSphere Configuration Profiles와 통합되지 않았습니다.

개별 vSphere 서비스에 대한 TLS 매개 변수를 설정할 수 없습니다. MANUAL TLS 프로파일을 사용하여 변경한 내용은 시스템 수준에서 적용됩니다.

사전 요구 사항

ESXi호스트에서 SSH 또는 ESXi Shell을 사용하도록 설정합니다.

TLS 프로파일을 MANUAL로 변경합니다. vSphere Client를 사용하여 ESXi 호스트의 TLS 프로파일 변경 또는 CLI를 사용하여 ESXi 호스트의 TLS 프로파일 변경의 내용을 참조하십시오.

프로시저

ESXi 호스트에 연결합니다.
SSH 또는 ESXi Shell을 사용할 수 있습니다.
ESXi 호스트를 유지 보수 모드로 전환합니다.
TLS 프로파일이 MANUAL인지 확인합니다.
```
esxcli system tls [client | server] get
```

매개 변수를 변경하려면 다음 명령을 실행합니다.

esxcli system tls [client | server] set --cipher-list=str
esxcli system tls [client | server] set --cipher-suite=str
esxcli system tls [client | server] set --groups=str
esxcli system tls [client | server] set --protocol-versions=str

여기서 str은 콜론, 쉼표 또는 공백으로 구분된 OpenSSL 스타일의 문자열입니다. 예:--cipher-list=ECDHE+AESGCM:ECDHE+AES

자세한 내용은 다음 명령을 실행하십시오.

esxcli system tls [client | server] set --help

변경 내용이 적용되도록 ESXi 호스트를 재부팅합니다.
ESXi 호스트가 재부팅된 후 유지 보수 모드를 해제합니다.

예

다음 예에서는 먼저 TLS 프로파일을 MANUAL로 설정한 다음 보다 제한적인 곡선 집합(그룹)을 설정합니다. 변경 내용을 적용하려면 재부팅이 필요합니다.

[root@host1] esxcli system tls server get
   Profile: COMPATIBLE
   Cipher List: <profile default>
   Cipher Suite: <profile default>
   Groups: <profile default>
   Protocol Versions: <profile default>
   Reboot Required: false
[root@host1] esxcli system tls server set --profile MANUAL
[root@host1] esxcli system tls server get
   Profile: MANUAL
   Cipher List: ECDHE+AESGCM:ECDHE+AES
   Cipher Suite: TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384
   Groups: prime256v1:secp384r1:secp521r1
   Protocol Versions: tls1.2,tls1.3
   Reboot Required: true
[root@host1] esxcli system tls server set --groups=prime256v1:secp384r1
[root@host1] esxcli system tls server get
   Profile: MANUAL
   Cipher List: TLS_AES_128_CCM_SHA256
   Cipher Suite: TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384
   Groups: prime256v1:secp384r1
   Protocol Versions: tls1.2,tls1.3
   Reboot Required: true

vCenter Server 호스트의 TLS 프로파일 관리

API를 사용하여 vCenter Server 호스트에 대한 TLS 프로파일을 보고 변경합니다.

다양한 방법을 사용하여 HTTP 요청을 실행할 수 있습니다. 이 작업은 vSphere Client의 개발자 센터를 사용하여 TLS 프로파일을 관리하는 방법을 보여 줍니다. vCenter Server Appliance를 관리하도록 API를 사용하는 방법에 대한 자세한 내용은 "VMware vCenter Server 관리 프로그래밍 가이드" 를 참조하십시오.

프로시저

vSphere Client를 사용하여 vCenter Server 시스템에 로그인합니다.
메뉴에서 개발자 센터를 선택합니다.
API 탐색기를 클릭합니다.

API 선택 드롭다운에서 장치를 선택합니다.

다음 API 범주 및 작업을 사용할 수 있습니다.

표 1. vCenter Server TLS API
옵션	API 범주	연결된 작업
모든 TLS 프로파일 및 해당 구성 목록을 가져옵니다.	tls/profiles/	GET
특정 TLS 프로파일의 매개 변수를 가져옵니다.	tls/profiles/{id}	GET
전역적으로 구성된 현재 TLS 프로파일의 이름을 가져옵니다.	tls/profiles/global/	GET
전역적으로 지정하는 표준 프로파일 중 하나를 설정합니다.	tls/profiles/global/	PUT 참고: 이 작업을 수행하면 vCenter Server 서비스가 다시 시작됩니다.
전역적으로 구성된 현재 TLS 프로파일의 매개 변수를 가져옵니다.	tls/manual-parameters/global	GET

참고: 현재 vCenter Server TLS 프로파일의 매개 변수는 변경할 수 없습니다.

원하는 명령을 실행합니다