vSphere TLS 組態

從 8.0 Update 3 開始，vSphere 透過使用 TLS 設定檔支援 TLS 1.3 和 1.2。TLS 設定檔簡化了管理 TLS 參數的工作，同時提高了可支援性。

vSphere 8.0 Update 3 在 ESXi 和 vCenter Server 主機上啟用名為 COMPATIBLE 的預設 TLS 設定檔。COMPATIBLE 設定檔案支援 TLS 1.3 以及某些 TLS 1.2 連線。

可以使用 vSphere Configuration Profiles 或 esxcli 命令管理 ESXi 主機上的 TLS 設定檔。在 vCenter Server 主機上，可以使用 API 管理 TLS 設定檔。例如，可以在 vSphere Client 中使用開發人員中心。請參閱《vSphere Automation SDK 程式設計指南》和《vSphere Automation REST API 程式設計指南》。

vCenter Server 和 Envoy

vCenter Server 執行兩個反向 Proxy 服務：

VMware 反向代理服務，rhttpproxy
Envoy

Envoy 是開放原始碼 Edge 和服務 Proxy。Envoy 擁有連接埠 443，且所有傳入 vCenter Server 要求均透過 Envoy 路由。rhttpproxy 用作 Envoy 的組態管理伺服器。如此一來，TLS 組態會套用至 rhttpproxy，而後者隨後將組態傳送至 Envoy。

vSphere 如何使用 TLS 設定檔實作 TLS

vSphere 8.0 Update 3 透過將參數 (包括通訊協定版本、群組 (也稱為曲線) 和加密) 分組到單一 TLS 設定檔中來實作 TLS 1.3。此 TLS 設定檔在系統範圍內套用。使用單一 TLS 設定檔可降低主機的管理額外負荷。您不再需要手動設定個別 TLS 參數，但該功能仍可根據需要使用。TLS 設定檔還可以顯著提高可支援性。將參數分組到 TLS 設定檔中，簡化了從中選擇的 VMware 驗證的 TLS 解決方案集。在 ESXi 上，TLS 設定檔與 vSphere Configuration Profiles 整合。

提供以下 ESXi TLS 設定檔：

COMPATIBLE：預設設定檔。此設定檔中參數的確切對應可以隨版本變更，但保證此設定檔與支援的所有產品和版本 (目前為 N-2 版本) 相容。即，使用 COMPATIBLE 設定檔的版本 N 中的 ESXi 主機可以與版本 N-2 中的主機進行通訊。
NIST_2024：一種更嚴格的設定檔，專門支援 NIST 2024 標準。此設定檔中參數的確切對應保證滿足不同版本下的 NIST 2024 標準要求。保證此設定檔僅與目前版本或更新版本相容，而與舊版本不相容。
MANUAL：使用此設定檔建立並測試臨時組態，您需手動提供 TLS 參數。不保證 MANUAL 設定檔無錯誤地執行。您必須測試 MANUAL 設定檔，包括跨軟體升級。選擇使用 MANUAL 設定檔時，系統行為會先預設為之前選取的設定檔 (COMPATIBLE 或 NIST_2024)，且在您進行變更之前保持不變。必須使用 esxcli 命令來管理 MANUAL TLS 設定檔。如需有關在 MANUAL TLS 設定檔中變更參數的詳細資訊，請參閱 esxcli 隨附的說明文字。

將 TLS 設定檔設定為所需狀態時，必須將 ESXi 主機重新開機或修復 ESXi 主機所在的 vLCM 叢集才能套用變更。

下表顯示了 vSphere 8.0 Update 3 中 ESXi 和 vCenter Server 的 TLS 設定檔的詳細資料。[加密清單] 資料行會顯示 TLS 1.2 及更低版本通訊協定的 TLS 加密。[加密套件] 資料行會顯示 TLS 1.3 通訊協定的加密。

表 1. ESXi TLS 1.3 設定檔
TLS 設定檔名稱	TLS 通訊協定版本	加密清單	加密套件	曲線	VMware 受支援嗎？
相容	TLS 1.3 和 TLS 1.2	ECDHE+AESGCM:ECDHE+AES	LS_AES_256_GCM_SHA384；TLS_AES_128_GCM_SHA256	prime256v1:secp384r1:secp521r1	是
NIST_2024	TLS 1.3 和 TLS 1.2	ECDHE+AESGCM	LS_AES_256_GCM_SHA384；TLS_AES_128_GCM_SHA256	prime256v1:secp384r1:secp521r1	是
MANUAL	任何	任何	任何	任何	否

附註:

支援的設定 (通訊協定、加密清單、加密套件和曲線) 代表最多支援的組態。
NIST_2024 設定檔僅適用於輸入連線。
vSphere 8.0 Update 3 中使用的 BoringSSL 密碼編譯模組尚未達到 TLS 1.3 使用的 FIPS 憑證。因此，在 ESXi 和 vCenter Server 上，連接埠 443 (反向 Proxy) 使用 TLS 1.2 進行通訊。COMPATIBLE 和 NIST_2024 TLS 設定檔不使用非 FIPS TLS 1.3。

提供以下 vCenter Server TLS 1.3 設定檔：

COMPATIBLE：預設設定檔。此設定檔中參數的確切對應可以隨版本變更，但保證此設定檔與支援的所有產品和版本 (目前為 N-2 版本) 相容。
NIST_2024：一種更嚴格的設定檔，專門支援 NIST 2024 標準。此設定檔中參數的確切對應保證滿足不同版本下的 NIST 2024 標準要求。保證此設定檔僅與目前版本或更新版本相容，而與舊版本不相容。
COMPATIBLE-NON-FIPS：一個修改過的設定檔，允許 Envoy Proxy 建立非 FIPS TLS 1.3 連線。FIPS 未啟用。

表 2. vCenter Server TLS 1.3 設定檔
TLS 設定檔名稱	TLS 通訊協定版本	加密套件	曲線	FIPS 已啟用？	VMware 受支援嗎？
相容	TLS 1.3	LS_AES_256_GCM_SHA384；TLS_AES_128_GCM_SHA256	prime256v1:secp384r1:secp521r1	是	是
相容	TLS 1.2	ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-GCM-SHA256 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES128-SHA AES256-SHA AES128-SHA	prime256v1:secp384r1:secp521r1	是	是
NIST_2024	TLS 1.3	TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256	prime256v1:secp384r1:secp521r1	是	是
NIST_2024	TLS 1.2	ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256	prime256v1:secp384r1:secp521r1	是	是
COMPATIBLE-NON-FIPS	TLS 1.3	TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256	prime256v1:secp384r1:secp521r1	否	是
COMPATIBLE-NON-FIPS	TLS 1.2	ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-GCM-SHA256 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES128-SHA AES256-SHA AES128-SHA	prime256v1:secp384r1:secp521r1	否	是

ESXi 和 vCenter Server 中的 TLS 以及輸入和輸出連線

ESXi 8.0 Update 3 在輸入 (伺服器) 輸出 (用戶端) 連線上均支援 TLS 1.3。最受關注的是 ESXi 輸入 (伺服器) 連線，並且這裏套用了更為嚴格的 NIST_2024 設定檔。

對於 ESXi，可以在輸入 (伺服器) 連線上使用 COMPATIBLE、NIST_2024 和 MANUAL 設定。可以在輸出 (用戶端) 連線上使用 COMPATIBLE 和 MANUAL 設定。

vCenter Server TLS 設定檔將其設定套用至輸入和輸出連線。

某些 vSphere 服務會公開接受 TLS 連線的連接埠，而大多數服務使用反向 Proxy 。依預設，所有輸入連線均接受 TLS 1.2 和 TLS 1.3。目前，連接埠 443 (反向 Proxy) 已停用 TLS 1.3 並使用 TLS 1.2 進行通訊。輸出連線支援 TLS 1.2 和 TLS 1.3。如需詳細資訊，請參閱 ESXi 和 FIPS 中連接埠 443 上的 TLS 1.3。

TLS 和生命週期管理

依預設，將 ESXi 主機或 vCenter Server 主機升級或移轉到 8.0 Update 3 會啟用 COMPATIBLE TLS 設定檔。vSphere 8.0 Update 3 支援 TLS 1.3 和 TLS 1.2，以確保最基本的互操作性。將來，升級到更新版本的 ESXi 或 vCenter Server 將保留目前使用的 TLS 設定檔 (只要該設定檔尚未淘汰)。

升級到新版本時，建議的最佳做法是先將 TLS 設定檔設定為 COMPATIBLE。

如果在升級到 vSphere 8.0 Update 3 之前進行了本機服務層級編輯，在升級後，主機會被指派 COMPATIBLE 設定檔，該設定檔不會反映這些變更。若要使主機反映這些變更，請切換為使用 MANUAL 設定檔。請參閱使用 vSphere Client 變更 ESXi 主機的 TLS 設定檔或使用 CLI 變更 ESXi 主機的 TLS 設定檔。

警告： MANUAL TLS 設定檔不能保證在升級程序中無錯誤工作。您必須確認編輯的 MANUAL TLS 設定檔從一個版本升級到另一個版本，或者切換到 COMPATIBLE TLS 設定檔時能夠正常工作。

ESXi 和 FIPS 中連接埠 443 上的 TLS 1.3

目前，vSphere 在連接埠 443 上停用 TLS 1.3。vSphere 8.0 Update 3 中使用的 Boring SSL 密碼編譯模組的版本未經過 TLS 1.3 的 FIPS 認證。使用 COMPATIBLE 或 NIST_2024 TLS 設定檔時，除 443 以外的所有連接埠都透過 TLS 1.3 進行通訊。目前，由於此問題，連接埠 443 使用的是 TLS 1.2。

若要在連接埠 443 上啟用非 FIPS TLS 1.3，請參閱 https://kb.vmware.com/s/article/92473 上的 VMware 知識庫文章。