從 vSphere 8.0 Update 3 開始,您可以使用 vSphere Clientesxcli 命令或 API 來管理 ESXi 的 TLS 設定檔。對於 vCenter Server,可使用 API 管理 TLS 設定檔。

如果使用 vSphere Configuration Profiles,則可以在 vLCM 叢集層級管理 ESXi 主機的 TLS 設定。可以變更該叢集的 TLS 設定,然後根據此新組態修復叢集。如需詳細資訊,請參閱管理主機和叢集生命週期說明文件中有關管理 vSphere Configuration Profiles 的章節。

對於獨立 ESXi 主機和非 vLCM 叢集,必須使用 esxcli 命令管理 TLS 設定檔。請參閱ESXCLI 概念和範例說明文件和 esxcli 線上說明。

目前,只能使用 API 管理 vCenter Server TLS 設定檔。請參閱《vSphere Automation SDK 程式設計指南》《vSphere Automation REST API 程式設計指南》

使用 vSphere Client 檢視 ESXi 主機的 TLS 設定檔

可以使用 vSphere Client 檢視 vLCM 叢集中 ESXi 主機的 TLS 設定檔。

在 vSphere Configuration Profiles 中,未明確設定的設定將使用相應設定檔中的預設值。對於 TLS 設定檔,預設值為 COMPATIBLE。

若要檢視獨立或非 vLCM 叢集 ESXi 主機的 TLS 設定檔,請參閱使用 CLI 檢視 ESXi 主機的 TLS 設定檔

必要條件

您已啟用 vSphere Configuration Profiles 並為叢集建立了草稿組態。請參閱 管理主機和叢集生命週期說明文件。

程序

  1. vSphere Client 中,導覽至使用單一映像管理的 vLCM 叢集。
  2. 設定索引標籤上,按一下所需狀態 > 組態
  3. 設定索引標籤上,按一下系統
  4. 按一下 tls_clienttls_server 以檢視在目前所需的組態文件中定義的 TLS 設定檔。

使用 CLI 檢視 ESXi 主機的 TLS 設定檔

可以使用 CLI 檢視 ESXi 主機目前設定的 TLS 設定檔。

對於獨立 ESXi 主機和非 vLCM 叢集,必須使用 esxcli 命令管理 TLS 設定檔。如需詳細資訊,請參閱ESXCLI 參考。對於 vLCM 叢集中的 ESXi 主機,可以使用 vSphere Configuration Profiles 或 esxcli 命令。

必要條件

ESXi Shell 主機上啟用 SSH 或 ESXi

程序

  1. 連線至 ESXi 主機。
    可以使用 SSH 或 ESXi Shell
  2. 若要檢視目前設定的 TLS 設定檔,請執行以下命令。 
    esxcli system tls [client | server] get
  3. 若要檢視目前設定的 TLS 設定檔中的參數,請執行以下命令: 
    esxcli system tls [client | server] get --show-profile-defaults

使用 vSphere Client 變更 ESXi 主機的 TLS 設定檔

您可以變更 ESXi 主機的 TLS 設定檔。預設 TLS 設定檔為 COMPATIBLE。

必要條件

您已啟用 vSphere Configuration Profiles 並為叢集建立了草稿組態。請參閱 管理主機和叢集生命週期說明文件。

程序

  1. vSphere Client 中,導覽至使用單一映像管理的叢集。
  2. 設定索引標籤上,按一下所需狀態 > 組態
  3. 設定索引標籤上,按一下系統
  4. 按一下 tls_clienttls_server
    根據先前是否變更了設定,按一下 設定組態編輯
  5. 從下拉式功能表中選取 TLS 設定檔。
  6. 按一下儲存
  7. 根據草稿組態修復叢集。
    1. 若要根據草稿組態修復叢集,請在草稿索引標籤上,按一下套用變更
    2. 依照修復精靈中的步驟進行操作。如需詳細資訊,請參閱 管理主機和叢集生命週期說明文件。

結果

叢集中的所有 ESXi 主機均符合所需組態。

使用 CLI 變更 ESXi 主機的 TLS 設定檔

您可以變更 ESXi 主機的 TLS 設定檔。預設 TLS 設定檔為 COMPATIBLE。

對於獨立 ESXi 主機和非 vLCM 叢集,必須使用 esxcli 命令管理 TLS 設定檔。如需詳細資訊,請參閱ESXCLI 參考。對於 vLCM 叢集中的 ESXi 主機,可以使用 vSphere Configuration Profiles 或 esxcli 命令。

必要條件

ESXi Shell 主機上啟用 SSH 或 ESXi

程序

  1. 連線至 ESXi 主機。
    可以使用 SSH 或 ESXi Shell
  2. ESXi 主機置於維護模式。
  3. 若要變更 TLS 設定檔,請執行以下命令。 
    esxcli system tls [client | server] set --profile [COMPATIBLE | NIST_2024 | MANUAL]
    備註: 如果要對 TLS 參數進行變更 (在系統層級或服務層級),請選取 MANUAL 設定檔。
  4. ESXi 主機重新開機以使變更生效。
  5. ESXi 主機重新開機後,將其退出維護模式。

使用 CLI 編輯 MANUAL TLS 設定檔中的參數

您可以編輯 MANUAL TLS 設定檔中的參數集。若要變更 TLS 參數 (如加密清單和加密套件),必須先將 TLS 設定檔設定為 MANUAL。

警告: Broadcom 不支援 MANUAL TLS 設定檔。僅支援 COMPATIBLE 和 NIST_2024 TLS 設定檔。使用 MANUAL TLS 設定檔的風險自負。

必須使用 esxcli 命令管理 MANUAL TLS 設定檔中的參數。管理 MANUAL TLS 設定檔參數未與 vSphere Configuration Profiles 整合。

無法為個別 vSphere 服務設定 TLS 參數。使用 MANUAL TLS 設定檔所做的變更會在系統層級套用。

必要條件

ESXi Shell 主機上啟用 SSH 或 ESXi

將 TLS 設定檔變更為 MANUAL。請參閱使用 vSphere Client 變更 ESXi 主機的 TLS 設定檔使用 CLI 變更 ESXi 主機的 TLS 設定檔

程序

  1. 連線至 ESXi 主機。
    可以使用 SSH 或 ESXi Shell
  2. ESXi 主機置於維護模式。
  3. 確保 TLS 設定檔為 MANUAL。 
    esxcli system tls [client | server] get
  4. 若要變更參數,請執行以下任一命令。 
    esxcli system tls [client | server] set --cipher-list=str
esxcli system tls [client | server] set --cipher-suite=str
esxcli system tls [client | server] set --groups=str
esxcli system tls [client | server] set --protocol-versions=str

    其中,str 是 OpenSSL 式字串,以冒號、逗號或空格分隔。例如:--cipher-list=ECDHE+AESGCM:ECDHE+AES

    如需詳細資訊,請執行下列命令:

    esxcli system tls [client | server] set --help
  5. ESXi 主機重新開機以使變更生效。
  6. ESXi 主機重新開機後,將其退出維護模式。

範例

下列範例先將 TLS 設定檔設定為 MANUAL,然後設定一組更嚴格的曲線 (群組)。需要重新開機才能使變更生效。 
[root@host1] esxcli system tls server get
   Profile: COMPATIBLE
   Cipher List: <profile default>
   Cipher Suite: <profile default>
   Groups: <profile default>
   Protocol Versions: <profile default>
   Reboot Required: false
[root@host1] esxcli system tls server set --profile MANUAL
[root@host1] esxcli system tls server get
   Profile: MANUAL
   Cipher List: ECDHE+AESGCM:ECDHE+AES
   Cipher Suite: TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384
   Groups: prime256v1:secp384r1:secp521r1
   Protocol Versions: tls1.2,tls1.3
   Reboot Required: true
[root@host1] esxcli system tls server set --groups=prime256v1:secp384r1
[root@host1] esxcli system tls server get
   Profile: MANUAL
   Cipher List: TLS_AES_128_CCM_SHA256
   Cipher Suite: TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384
   Groups: prime256v1:secp384r1
   Protocol Versions: tls1.2,tls1.3
   Reboot Required: true

管理 vCenter Server 主機的 TLS 設定檔

使用 API 檢視和變更 vCenter Server 主機的 TLS 設定檔。

您可以使用多種方式執行 HTTP 要求。此工作顯示如何使用 vSphere Client 中的開發人員中心管理 TLS 設定檔。如需有關使用 API 管理 vCenter Server Appliance 的詳細資訊,請參閱《VMware vCenter Server 管理程式設計指南》

程序

  1. 使用 vSphere Client 登入 vCenter Server 系統。
  2. 從功能表中,選取開發人員中心
  3. 按一下 API Explorer
  4. 選取 API 下拉式功能表中,選取應用裝置
    可以使用下列 API 類別和動作。
    表 1. vCenter Server TLS API
    選項 API 類別 關聯動作
    取得所有 TLS 設定檔及其組態的清單。 tls/profiles/ GET
    取得特定 TLS 設定檔的參數。 tls/profiles/{id} GET
    取得全域設定的目前 TLS 設定檔的名稱。 tls/profiles/global/ GET
    設定全域指定的標準設定檔之一。 tls/profiles/global/ PUT
    備註: 此動作將重新啟動 vCenter Server 服務。
    取得全域設定的目前 TLS 設定檔的參數。 tls/manual-parameters/global GET
    備註: 目前,無法變更 vCenter Server TLS 設定檔的參數。
  5. 執行所需命令。