您可使用 TLS 組態公用程式來啟用或停用 ESXi 主機上的 TLS 版本。在執行該程序過程中,您可以停用 TLS 1.0 並啟用 TLS 1.1 和 TLS 1.2,也可以停用 TLS 1.0 和 TLS 1.1 並僅啟用 TLS 1.2。

對於 ESXi 主機,請使用與 vSphere 環境中的其他元件不同的公用程式。公用程式特定於版本,且無法用於先前版本。

您可以撰寫指令碼以設定多部主機。

必要條件

請確保與 ESXi 主機相關的任何產品或服務均可使用 TLS 1.1 或 TLS 1.2 進行通訊。僅使用 TLS 1.0 通訊的產品將失去連線功能。

必須在 vCenter Server Appliance 上啟用 Bash shell。

程序

  1. 使用可執行指令碼之 vCenter Single Sign-On 使用者的使用者名稱和密碼,來使用 SSH 連線至 vCenter Server Appliance
  2. 若要啟用 Bash shell,請在命令列中輸入 shell
  3. 前往指令碼所在的目錄。 
    cd /usr/lib/vmware-TlsReconfigurator/EsxTlsReconfigurator
  4. 針對屬於叢集一部分的 ESXi 主機,執行以下其中一個命令。
    • 若要在叢集中的所有主機上停用 TLS 1.0 並同時啟用 TLS 1.1 和 TLS 1.2,請執行以下命令。 
      ./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.1 TLSv1.2
    • 若要在叢集中的所有主機上停用 TLS 1.0 和 TLS 1.1 並僅啟用 TLS 1.2,請執行以下命令。 
      ./reconfigureEsx vCenterCluster -c Cluster_Name -u Administrative_User -p TLSv1.2
  5. 在不屬於叢集一部分的個別主機上,執行以下其中一個命令。
    • 若要針對個別主機停用 TLS 1.0 並同時啟用 TLS 1.1 和 TLS 1.2,請執行以下命令。 
      ./reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.1 TLSv1.2
    • 若要針對個別主機停用 TLS 1.0 和 TLS 1.1 並僅啟用 TLS 1.2,請執行以下命令。 
      ./reconfigureEsx vCenterHost -h ESXi_Host_Name -u Administrative_User -p TLSv1.2
      備註: 若要重新設定獨立 ESXi 主機,請登入 vCenter Server 系統並執行 reconfigureEsx 命令與 ESXiHost -h HOST -u ESXi_USER 選項。對於 HOST 選項,您可以指定單一 ESXi 主機 IP 位址或 FQDN,或一系列主機 IP 位址或 FQDN。例如,登入 vCenter Server 並執行以下命令會在兩個 ESXi 主機上同時啟用 TLS 1.1 和 TLS 1.2: 
      ./reconfigureEsx ESXiHost -h 198.51.100.2 198.51.100.3 -u root -p TLSv1.1 TLSv1.2

      或者,若要重新設定獨立 ESXi 主機,可以登入該主機,然後修改 UserVars.ESXiVPsDisabledProtocols 進階設定。如需詳細資訊,請參閱vSphere 單一主機管理 - VMware Host Client說明文件中的「設定進階 TLS/SSL 金鑰選項」主題。

  6. ESXi 主機重新開機以完成 TLS 通訊協定變更。