您可使用 TLS 組態公用程式來啟用或停用 ESXi 主機上的 TLS 版本。在執行該程序過程中,您可以停用 TLS 1.0 並啟用 TLS 1.1 和 TLS 1.2,也可以停用 TLS 1.0 和 TLS 1.1 並僅啟用 TLS 1.2。
對於 ESXi 主機,請使用與 vSphere 環境中的其他元件不同的公用程式。公用程式特定於版本,且無法用於先前版本。
您可以撰寫指令碼以設定多部主機。
必要條件
請確保與 ESXi 主機相關的任何產品或服務均可使用 TLS 1.1 或 TLS 1.2 進行通訊。僅使用 TLS 1.0 通訊的產品將失去連線功能。
程序
- 使用可執行指令碼之 vCenter Single Sign-On 使用者的使用者名稱和密碼,來登入 vCenter Server 系統。
- 前往指令碼所在的目錄。
作業系統 命令 Windows cd %VMWARE_CIS_HOME%\TlsReconfigurator\EsxTlsReconfigurator
Linux cd /usr/lib/vmware-TlsReconfigurator/EsxTlsReconfigurator
- 針對屬於叢集一部分的 ESXi 主機,執行以下其中一個命令。
- 若要在叢集中的所有主機上停用 TLS 1.0 並同時啟用 TLS 1.1 和 TLS 1.2,請執行以下命令。
作業系統 命令 Windows reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.1 TLSv1.2
Linux ./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.1 TLSv1.2
- 若要在叢集中的所有主機上停用 TLS 1.0 和 TLS 1.1 並僅啟用 TLS 1.2,請執行以下命令。
作業系統 命令 Windows reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.2
Linux ./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.2
- 若要在叢集中的所有主機上停用 TLS 1.0 並同時啟用 TLS 1.1 和 TLS 1.2,請執行以下命令。
- 在不屬於叢集一部分的個別主機上,執行以下其中一個命令。
- 若要在個別主機上停用 TLS 1.0 並同時啟用 TLS 1.1 和 TLS 1.2,請執行以下命令。
作業系統 命令 Windows reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.1 TLSv1.2
Linux ./reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.1 TLSv1.2
- 若要在個別主機上停用 TLS 1.0 和 TLS 1.1 並僅啟用 TLS 1.2,請執行以下命令。
作業系統 命令 Windows reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.2
Linux ./reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.2
備註: 若要重新設定獨立 ESXi 主機,請登入 vCenter Server 系統並執行reconfigureEsx
命令與 ESXiHost -h HOST -u ESXi_USER 選項。對於 HOST 選項,您可以指定單一 ESXi 主機 IP 位址或 FQDN,或一系列主機 IP 位址或 FQDN。例如,登入 vCenter Server 並執行以下命令會在兩個 ESXi 主機上同時啟用 TLS 1.1 和 TLS 1.2:./reconfigureEsx ESXiHost -h 198.51.100.2 198.51.100.3 -u root -p TLSv1.1 TLSv1.2
或者,若要重新設定獨立 ESXi 主機,可以登入該主機,然後修改 UserVars.ESXiVPsDisabledProtocols 進階設定。如需詳細資訊,請參閱vSphere 單一主機管理 - VMware Host Client說明文件中的「設定進階 TLS/SSL 金鑰選項」主題。
- 若要在個別主機上停用 TLS 1.0 並同時啟用 TLS 1.1 和 TLS 1.2,請執行以下命令。
- 將 ESXi 主機重新開機以完成 TLS 通訊協定變更。