vSphere 依預設僅啟用 TLS。預設為停用 TLS 1.0 和 TLS 1.1。無論是否執行全新安裝、升級或移轉,vSphere 都會停用 TLS 1.0 和 TLS 1.1。您可以使用 TLS Configurator 公用程式,在 vCenter Server 系統上暫時啟用舊版通訊協定。當所有連線均使用 TLS 1.2 之後,則可以停用較不安全的舊版。

ESXi 8.0 開始,僅支援 TLS 1.2。ESXi 8.0 不再支援 TLS 1.0 和 1.1,您也無法啟用這些較舊的通訊協定版本。在 ESXi 8.0 上執行 TLS Configurator 公用程式失敗,但不報告錯誤。

vCenter Server 上重新設定舊通訊協定版本之前,請考慮您的環境。根據您的環境需求和軟體版本,除了 TLS 1.2 以外,您可能還需要重新啟用 TLS 1.0 和 TLS 1.1 以維持互通性。請參閱 VMware 知識庫文章 (網址為:https://kb.vmware.com/s/article/2145796) 以取得支援 TLS 1.2 的 VMware 產品。關於第三方整合,請參閱廠商說明文件。TLS Configurator 公用程式可與 vSphere 8.0 及舊版搭配使用,包括 7.0、6.7、6.5 和 6.0。

vCenter Server 使用的連接埠可啟用或停用 TLS 通訊協定。TLS 組態公用程式 scan 選項會顯示各項服務已啟用的 TLS 版本。請參閱針對 TLS 通訊協定掃描 vCenter Server

如需 VMware 產品 (包括 vSphere 和 vSAN) 中所有支援的連接埠和通訊協定的清單,請參閱 VMware Ports and Protocols Tool™,網址為 https://ports.vmware.com/。可以依 VMware 產品搜尋連接埠、建立自訂連接埠清單,以及列印或儲存連接埠清單。

vCenter Server和 Envoy

在 vSphere 7.0 及更新版本中,vCenter Server 執行兩個反向 Proxy 服務:

  • VMware 反向代理服務,rhttpproxy
  • Envoy

Envoy 是開放原始碼 Edge 和服務 Proxy。Envoy 擁有連接埠 443,且所有傳入 vCenter Server 要求均透過 Envoy 路由。在 vSphere 7.0 及更新版本中,rhttpproxy 充當 Envoy 的組態管理伺服器。如此一來,TLS 組態會套用至 rhttpproxy,而後者隨後將組態傳送至 Envoy。

有關 vSphere 和 TLS 的附註和警告

  • vSphere 6.7 版本是 vCenter Server for Windows 的最後一個版本。如需在 vCenter Server for Windows 上重新設定 Update Manager 連接埠的 TLS 的相關資訊,請參閱 6.7 版產品的 vSphere 安全性說明文件。
  • 您可以使用 TLS 1.2 來加密 vCenter Server 與外部 Microsoft SQL Server 之間的連線。您無法僅使用 TLS 1.2 與外部 Oracle 資料庫連線。請參閱 VMware 知識庫文章,網址為 https://kb.vmware.com/kb/2149745
  • 對於 vSphere 6.7 及更早版本,請勿在 Windows Server 2008 上執行的 vCenter ServerPlatform Services Controller 執行個體停用 TLS 1.0。Windows 2008 僅支援 TLS 1.0。請參閱《伺服器角色和技術指南》中的 Microsoft TechNet 文章〈TLS/SSL 設定〉

執行選擇性 vCenter Server TLS 手動備份

TLS 組態公用程式會在每次指令碼修改 vCenter Server 時執行 TLS 組態的備份。如果必須儲存備份至特定目錄,您可以執行手動備份。

對於 vCenter Server,預設目錄為 /tmp/yearmonthdayTtime

程序

  1. 使用 SSH 連線到 vCenter Server
  2. 將目錄變更為 /usr/lib/vmware-TlsReconfigurator/VcTlsReconfigurator
  3. 若要備份至特定目錄,請執行下列命令。
    directory_path/VcTlsReconfigurator> ./reconfigureVc backup -d backup_directory_path
  4. 確認您的備份已成功。
    成功備份會與以下範例類似。由於命令的執行方式,每次執行 reconfigureVc backup 命令時,顯示的服務順序可能不同。
    vCenter Transport Layer Security reconfigurator, version=8.0.0, build=10068142
    For more information refer to the following article: https://kb.vmware.com/kb/2147469
    Log file: "/var/log/vmware/vSphere-TlsReconfigurator/VcTlsReconfigurator.log".
    ================= Backing up vCenter Server TLS configuration ==================
    Using backup directory: /tmp/20220714T225653
    Backing up: vmcam
    Backing up: vmdird
    Backing up: vmware-rhttpproxy
    Backing up: vmware-stsd
    Backing up: vami-lighttp
    Backing up: vmware-rbd-watchdog
    Backing up: rsyslog
    Backing up: vmware-updatemgr
    Backing up: vmware-sps
    Backing up: vmware-vpxd
  5. (選擇性) 如果您之後必須執行還原,您可以執行以下命令。
    reconfigureVc restore -d optional_custom_backup_directory_path

vCenter Server 系統上啟用或停用 TLS 版本

您可使用 TLS 組態公用程式來啟用或停用 vCenter Server 系統上的 TLS 版本。在執行該程序過程中,您可以停用 TLS 1.0 並啟用 TLS 1.1 和 TLS 1.2,也可以停用 TLS 1.0 和 TLS 1.1 並僅啟用 TLS 1.2。

必要條件

請確認 vCenter Server 所管理的主機和服務可使用仍保持啟用的 TLS 版本進行通訊。僅使用 TLS 1.0 通訊的產品將無法連線。

程序

  1. 使用 administrator@vsphere.local 的使用者名稱和密碼,或以可執行指令碼之 vCenter Single Sign-On 管理員群組的其他成員身分,來登入 vCenter Server 系統。
  2. 前往指令碼所在的目錄。
    cd /usr/lib/vmware-TlsReconfigurator/VcTlsReconfigurator
  3. 根據您要使用的 TLS 版本執行命令。
    • 停用 TLS 1.0 並同時啟用 TLS 1.1 和 TLS 1.2,請執行以下命令。
      directory_path/VcTlsReconfigurator> ./reconfigureVc update -p TLSv1.1 TLSv1.2
    • 停用 TLS 1.0 和 TLS 1.1 並僅啟用 TLS 1.2,請執行以下命令。
      directory_path/VcTlsReconfigurator> ./reconfigureVc update -p TLSv1.2
  4. 如果您的環境包含其他 vCenter Server 系統,請在每個 vCenter Server 系統上重複該程序。

針對 TLS 通訊協定掃描 vCenter Server

啟用或停用 vCenter Server 上的 TLS 版本後,您可以使用 TLS 組態公用程式來檢視變更。

TLS 組態公用程式 scan 選項會顯示各項服務已啟用的 TLS 版本。

程序

  1. 登入 vCenter Server 系統。
    1. 使用 SSH 連線應用裝置,並以具有執行指令碼權限的使用者身分登入。
    2. 如果 Bash shell 目前尚未啟用,請執行以下命令。
      shell.set --enabled true
      shell
  2. 前往 VcTlsReconfigurator 目錄。
    cd /usr/lib/vmware-TlsReconfigurator/VcTlsReconfigurator
  3. 若要顯示哪些服務已啟用 TLS 以及已使用哪些連接埠,請執行下列命令。
    reconfigureVc scan

還原 vCenter Server TLS 組態變更

您可使用 TLS 組態公用程式來還原組態變更。當您還原變更時,系統會啟用您使用 TLS Configurator 公用程式停用的通訊協定。

必要條件

還原變更之前,請使用 vCenter Server 管理介面來執行 vCenter Server 的備份。

程序

  1. 以具有指令碼執行權限的使用者身分連線至要還原變更的 vCenter Server
  2. 如果 Bash shell 目前尚未啟用,請執行以下命令。
    shell.set --enabled true
    shell
  3. 前往 VcTlsReconfigurator 目錄。
    cd /usr/lib/vmware-TlsReconfigurator/VcTlsReconfigurator
  4. 檢閱先前備份。
    grep "backup directory" /var/log/vmware/vSphere-TlsReconfigurator/VcTlsReconfigurator.log
    
    輸出與下列範例類似。
    2022-07-14T22:56:53.706Z INFO Using backup directory: /tmp/20220714T225653
    2022-07-14T22:58:08.594Z INFO Using backup directory: /tmp/20220714T225808
    
  5. 執行下列命令以執行還原。
    reconfigureVc restore -d Directory_path_from_previous_step
    
    TLS 組態已還原。在程序過程中,會重新啟動 vCenter Server
  6. 請對任何其他 vCenter Server 執行個體重複該程序。