configuración de TLS
10
De forma predeterminada, las versiones del protocolo TLS 1.0, 1.1 y 1.2 están habilitadas en vSphere. Puede usar la utilidad de configuración de TLS para habilitar o deshabilitar las versiones del protocolo TLS. Es posible deshabilitar TLS 1.0, o bien TLS 1.0 y TLS 1.1.
Antes de realizar la reconfiguración, conozca su entorno.
n Asegúrese de que vCenter Server, Platform Services Controller, vSphere Update Manager y los hosts ESXi del entorno estén ejecutando versiones de software que permitan deshabilitar las versiones de TLS. Consulte el artículo 2145796 de la base de conocimientos de VMware para obtener una lista de productos de VMware que admiten la deshabilitación de TLS 1.0.
n Asegúrese de que otros productos de VMware y de terceros sean compatibles con el protocolo TLS que esté habilitado. Según la configuración, puede ser TLS 1.2 o TLS 1.1 y TLS 1.2.
Este capítulo cubre los siguientes temas:
n “Puertos que permiten deshabilitar versiones de TLS,” página 195 n “Deshabilitar las versiones de TLS en vSphere,” página 197 n “Instalar la utilidad de configuración de TLS,” página 197 n “Copia de seguridad manual opcional,” página 198
n “Deshabilitar las versiones de TLS en los sistemas vCenter Server,” página 199 n “Deshabilitar las versiones de TLS en los hosts ESXi,” página 200
n “Deshabilitar las versiones de TLS en los sistemas Platform Services Controller,” página 201 n “Revertir los cambios de configuración de TLS,” página 202
n “Deshabilitar las versiones de TLS en vSphere Update Manager,” página 204
Puertos que permiten deshabilitar versiones de TLS
Cuando se ejecuta la utilidad de configuración de TLS en el entorno de vSphere, se puede deshabilitar TLS en los puertos que usan TLS en los hosts vCenter Server, Platform Services Controller y ESXi. Es posible deshabilitar TLS 1.0, o bien TLS 1.0 y TLS 1.1.
En la siguiente tabla, se enumeran los puertos. Si un puerto no se incluye, la utilidad no lo afecta.
Tabla 10‑1. vCenter Server y Platform Services Controller afectados por la utilidad de configuración de TLS
Servicio Nombre en Windows Nombre en Linux Puerto
VMware HTTP Reverse
(Continua)
Servicio Nombre en Windows Nombre en Linux Puerto
VMware Syslog Collector (*) vmwaresyslogcollector
(*) rsyslogd 1514
Interfaz de VMware
Appliance Management N.A. applmgmt (*) 5480
vSphere Auto Deploy Waiter vmware-autodeploy- waiter
vmware-rbd-watchdog 6501 6502 Servicio de token seguro de
VMware VMwareSTS vmware-stsd 7444
vSphere Authentication
Proxy VMWareCAMService vmcam 7476
Servicio de vSphere Update
Manager (**) vmware-ufad-vci (**) vmware-updatemgr 80849087 vSphere Web Client vspherewebclientsvc vsphere-client 9443
vSphere H5 Web Client vsphere-ui vsphere-ui 5443
VMware Directory Service VMWareDirectoryService vmdird 11712
(*) TLS se controla mediante la lista de cifrado para estos servicios. La administración granular no es posible. Solo se admiten TLS 1.2 o todas las versiones TLS 1.x.
(**) En vCenter Server Appliance, vSphere Update Manager se encuentra en el mismo sistema que vCenter Server. En vCenter Server en Windows, TLS se configura mediante la edición de los archivos de configuración. Consulte “Deshabilitar las versiones de TLS en vSphere Update Manager,” página 204. Tabla 10‑2. Puertos ESXi afectados por la utilidad de configuración de TLS
Servicio Nombre del servicio Puerto
VMware HTTP Reverse Proxy y
daemon de host Hostd 443
VMware vSAN VASA Vendor
Provider vSANVP 8080
VMware Fault Domain Manager FDM 8182
VMware vSphere API para filtros de
E/S ioFilterVPServer 9080
Daemon de autorización de VMware vmware-authd 902
Notas y advertencias
n Asegúrese de que los hosts ESXi heredados que se administran mediante vCenter Server admitan una versión habilitada de TLS, ya sea TLS 1.1 y TLS 1.2 o solo TLS 1.2. Cuando se deshabilita una versión de TLS en vCenter Server 6.5, vCenter Server ya no puede administrar los hosts ESXi 5.x y 6.0 heredados. Actualice estos hosts a versiones compatibles con TLS 1.1 o TLS 1.2.
n No puede utilizar una conexión de solo TLS 1.2 para una instancia de Microsoft SQL Server externa o una base de datos de Oracle externa.
n No deshabilite TLS 1.0 en una instancia de vCenter Server o de Platform Services Controller que se ejecute en Windows Server 2008. Windows 2008 admite únicamente TLS 1.0. Consulte el artículo de Microsoft TechNet Configuración de TLS/SSL incluido en la guía de tecnologías y funciones de servidor.
n En las siguientes circunstancias, es necesario reiniciar los servicios del host después de aplicar cambios de configuración de TLS.
n Si aplica los cambios en el host ESXi directamente.
n Si aplica los cambios a través de la configuración del clúster mediante el uso de perfiles de host.
Deshabilitar las versiones de TLS en vSphere
Deshabilitar las versiones de TLS es un proceso de varias etapas. Al deshabilitar las versiones de TLS en el orden correcto, se garantiza que el entorno permanezca activo y en ejecución durante el proceso.
1 Si el entorno incluye vSphere Update Manager en Windows y vSphere Update Manager se encuentra en un sistema independiente, deshabilite los protocolos explícitamente mediante la edición de los archivos de configuración. Consulte “Deshabilitar las versiones de TLS en vSphere Update Manager,”
página 204.
vSphere Update Manager en vCenter Server Appliance siempre se incluye con el sistema vCenter Server y el script actualiza el puerto correspondiente.
2 Instale la utilidad de configuración de TLS en vCenter Server y Platform Services Controller. Si el entorno utiliza una instancia integrada de Platform Services Controller, la utilidad solo se instala en vCenter Server.
3 Ejecute la utilidad en vCenter Server.
4 Ejecute la utilidad en cada host ESXi que se administra mediante vCenter Server. Puede realizar esta tarea para cada host o para todos los hosts de un clúster.
5 Si el entorno utiliza una o varias instancias de Platform Services Controller, ejecute la utilidad en cada instancia.
Prerequisitos
Esta configuración se realiza en los sistemas que ejecutan vSphere 6.0 U3 y en los sistemas que ejecutan vSphere 6.5. Hay dos opciones disponibles.
n Deshabilite TLS 1.0 y habilite TLS 1.1 y TLS 1.2. n Deshabilite TLS 1.0 y TLS 1.1, y habilite TLS 1.2.