デフォルトでは、TLS プロトコル バージョン 1.0、1.1、および 1.2 が有効です。TLSv1.2 の無効化はサポートされていません。TLS プロトコルは、TLS Reconfiguration Utility を使用して切り替えおよび構成することができます。

この記事では、このユーティリティを使用して、サポートされる TLS プロトコルを変更する手順と、vSphere 環境内で TLSv1.0 を無効にする手順を説明します。このユーティリティを使用すると、vSphere 環境全体で TLSv1.0 をエンドツーエンドで無効にすることができます。ただし、環境内の vCenter Server、Platform Services Controller、および ESXi ホストは、無効にできる互換性のあるソフトウェア バージョンを実行している必要があります。さらに、サード パーティ製品に加えてその他の VMware 製品で TLSv1.1 および TLSv1.2 のみを使用した場合の互換性を確保してください。TLSv1.0 の無効化と TLSv1.1/1.2 の使用でサポートされる VMware 製品のリストについては、「Status of TLSv1.1/1.2 Enablement and TLSv1.0 Disablement across VMware products (2145796)」を参照してください。

vSphere 6.0 Update 3 よりも前のバージョンは、現在のところ、TLSv1.0 の無効化や、その他の TLS 通信プロトコルの操作でサポートされていません。ただし、設計により、vSphere のすべてのバージョンは、製品間で使用可能な最も高いバージョンの TLS プロトコルを使用して通信しようとします。vSphere の使用可能なその他のバージョンについては、前述のステータス ナレッジベースの記事を参照してください。

TLS 再構成ユーティリティを vSphere 環境で使用して、vCenter Server、Platform Services Controller、および ESXi ホストの以下のポート全般にわたって TLSv1.0 を無効にします。ポートまたはサービスが含まれていない場合は、ユーティリティでは処理されません。

vCenter Server および Platform Services Controller

サービス	サービス名		ポート
	Windows	アプライアンス
VMware HTTP Reverse Proxy	rhttpproxy	vmware-rhttpproxy	443
VMware vSphere Web Client	vspherewebclientsvc	vsphere-client	9443
VMware Syslog Collector (†)	vmsyslogcollector †	--	1514
VMware vSphere Auto Deploy Waiter	vmware-autodeploy-waiter	vmware-rbd-watchdog	6501
VMware vSphere Auto Deploy Waiter	vmware-autodeploy-waiter	vmware-rbd-watchdog	6502
VMware セキュア トークン サービス	VMwareSTS	vmware-stsd	7444
VMware Directory Service	VMWareDirectoryService	vmdird	636
VMware Directory Service	VMWareDirectoryService	vmdird	11712

 

 

ESXi

サービス	サービス名	ポート
VMware HTTP Reverse Proxy とホスト デーモン	Hostd	443
VMware vSAN VASA ベンダー プロバイダ	vSANVP	8080
VMware Fault Domain Manager	FDM	8182
VMware vSphere API for IO Filters	ioFilterVPServer	9080
VMware 認証デーモン	vmware-authd	902

 

 

注意と補足：

• TLSv1.2 バージョンのみ、またはすべての TLSv1.x バージョンがサポートされており、きめ細かい管理は不可能です。外部 Platform Services Controller を備えた vCenter Server で、すべての PSC および VC が同じ TLS プロトコルを使用して有効になっていることを確認します。
• TLS 再構成ユーティリティによる vSphere Update Manager の TLS プロトコル（ポート 8084、9087）の無効化はサポートされていません。詳細については、「Managing the TLS protocol configuration for Update Manager 6.0 Update 3 and Update Manager 6.5 (2149136)」を参照してください。
• TLS 再構成ユーティリティによる VMware vSAN Observer の TLS プロトコル（ポート 8010）の無効化はサポートされていません。詳細については、「Configuring the TLS protocol for VMware vSAN Observer 6.0 Update 3 (2144800)」を参照してください。
• † vCenter Server Appliance 上の VMware Syslog Collector では、TLSv1.0 のみがサポートされます。TLS 再構成スクリプトを使用して、TLSv1.1 または TLSv1.2 を有効にすることはできません。
• TLSv1.2 は、デフォルトで vSphere Application Management Interface のポート 5480 で有効になっています。TLSv1.0 を無効化するように構成することはできません。
• vCenter Server で管理されるレガシーの ESXi 6.0 および 5.x ホストが、TLSv1.1 と TLSv1.2 を確実にサポートするようにしてください。vCenter Server 6.0 Update 3 以降で TLSv1.0 を無効にすると、TLSv1.1 や TLSv1.2 をサポートする互換性のあるバージョンにアップグレードされていないレガシーの ESXi 5.x および 6.0 ホストは、vCenter Server で管理できなくなります。
• TLSv1.2 のみの接続を外部 Microsoft SQL Server または外部 Oracle データベースに使用することは、現在サポートされていません。
• ホスト OS (Windows) として vCenter Server や Platform Services Controller または Windows Server 2008 の TLSv1.0 を無効にすることは、TLSv1.0 のみをサポートしています。Windows Server の新しいバージョンは、TLSv1.0 の無効化をサポートしています。詳細については、Microsoft TechNet の記事「Server Roles and Technologies」の「TLS/SSL の設定」を参照してください。
• TLS 構成の変更をホストに直接適用するか、ホスト プロファイルを介してクラスタ構成を使用して適用したら、変更を有効にするために、ホスト サービスを再起動する必要があります。
• 認証プロキシ ポート 51915 は、6.0 Update 3 からの TLSv1.2 有効化をサポートしています。詳細については、「Disabling SSLv3 protocol for VMware Authentication Proxy - Port 51915 (2136184)」を参照してください。

6.0 Update 3 の TLS プロトコルに関連するその他の既知の問題については、以下を参照してください。

• vSphere Client fails to connect to the vCenter Server or ESXi with TLSv1.0 disabled (2149000)
• Deploying the N1 and M1 nodes from vCenter Server Appliance using HTML 5 installer fails with an error (2149001)

免責事項：VMware は、サードパーティの Web サイトのデータ、意見、アドバイス、ステートメントに対して責任を負いません。そのようなリンクが含まれていても、VMware がそのようなサイトのコンテンツに対する責任を承認、推奨、または受け入れることを暗示するわけではありません。

Symptoms:
免責事項：これは英文の記事「Managing TLS protocol configuration for vSphere 6.0 Update 3​」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

VMware vCenter Server Appliance 6.0.x
VMware vSphere ESXi 6.0
VMware vCenter Server 6.0.x

<meta content="text/html; charset=UTF-8" http-equiv="Content-Type">

 

vSphere 環境での TLSv1.0 の無効化と TLSv1.1 や TLSv1.2 の有効化は、マルチフェーズのプロセスになります。

1. TLS Reconfigurator Utilityを、vCenter Server と Platform Services Controller にインストールします。Platform Services Controller が vCenter Server に組み込まれている場合は、ユーティリティを vCenter Server にインストールすれば十分です。
2. vCenter Server で TLSv1.0 の使用を無効にして、TLSv1.1 と TLSv1.2 の使用を有効にするか、TLSv1.2 のみを使用します。
3. 次に、vCenter Server で管理される ESXi ホストが、TLSv1.0 の使用を無効にし、TLSv1.1 および TLSv1.2 の使用、または TLSv1.2 のみの使用を有効にするように更新されます。ホストごとまたはクラスタごとのレベルでも変更できます。
4. Platform Services Controller は、TLSv1.0 の使用を無効にして TLSv1.1 や TLSv1.2 の使用を有効にするように更新されます。vCenter Server 6.0 Update 1 以前のバージョンでは、TLSv1.2 のみが有効な Platform Services Controller はサポートされていません。PSC で TLSv1.0 を無効にする前に、vCenter Server を PSC と同じバージョンにアップグレードするか、PSC マシンで TLSv1.0 を有効のままにしておきます。

TLS Reconfiguration Utility は、VcTlsReconfigurator コンポーネントを使用して vCenter Server および Platform Services Controller の TLS プロトコルの管理をカバーし、EsxTlsReconfigurator コンポーネントを使用して ESXi ホストおよびクラスタの TLS プロトコルの管理をカバーする、2 つのコンポーネントとともに配布されます。これらのコンポーネントは、以下のディレクトリにあります。

vCenter Server for Windows の場合：

• C:\Program Files\VMware\CIS\vSphereTLSReconfigurator\VcTlsReconfigurator
• C:\Program Files\VMware\CIS\vSphereTLSReconfigurator\EsxTlsReconfigurator

vCenter Server Appliance の場合：

• /usr/lib/vmware-vSphereTlsReconfigurator/VcTlsReconfigurator
• /usr/lib/vmware-vSphereTlsReconfigurator/EsxTlsReconfigurator

TLS 再構成ユーティリティのインストール

TLS Reconfiguration Utility は、独立型のダウンロード可能なユーティリティです。ユーザーは、vSphere 環境内で TLSv1.0 を無効にするためにユーティリティをインストールする必要があります。TLS 再構成ユーティリティをインストールするには、以下の手順を実行します。

1. My.VMware.com for vSphere に移動します。
2. 環境内で Windows を使用するか、アプライアンスを使用するかに応じて、以下をダウンロードします。
   
   vCenter Server for Windows の場合： VMware-vSphereTlsReconfigurator-6.0.0-5051284.x86_64.msi
   vCenter Server Appliance の場合： VMware-vSphereTlsReconfigurator-6.0.0-5051284.x86_64.rpm 
    
3. ファイルを vCenter Server や Platform Services Controller にアップロードします。
   
   vCenter Server Appliance および Platform Services Controller Appliance の場合は、SCP クライアントを使用してファイルをアップロードします。 
   Windows vCenter Server または Windows Platform Services Controller の場合は、該当するファイルをコピーします。

• • vCenter Server for Windows の場合

1. 1. 1. vCenter Server を実行している Windows Server に、管理ユーザーとしてログインします。
      2. 次のファイルを見つけます： VMware-vSphereTlsReconfigurator-6.0.0-5051284.x86_64.msi
      3. MSI ファイルをインストールします。

• • vCenter Server Applianceの場合
     
  1. 1. root 認証情報と SSH セッションを使用して、vCenter Server Appliance に接続します。
     2. 次のコマンドを実行して、Bash シェルを有効にします。
        
        shell.set --enabled true

 

• 次のコマンドを実行して、Bash シェルにアクセスします。

shell 

• Bash シェルで、VMware-vSphereTlsReconfigurator-6.0.0-5051284.x86_64.rpm がアップロードされたディレクトリを特定します。
• 次のコマンドを実行します。
  
  rpm -Uvh VMware-vSphereTlsReconfigurator-6.0.0-5051284.x86_64.rpm

TLS 再構成ユーティリティを使用した TLSv1.0 の無効化

このセクションでは、TLSv1.0 の無効化と TLSv1.1 および TLSv1.2 の有効化、TLSv1.0 と TLSv1.1 の無効化、vCenter Server、Platform Services Controller、および ESXi ホストの全体にわたる TLSv1.2 のみの有効化について説明します。プロトコルの無効化は、次の順序で行う必要があります。

1. vCenter Server
2. ESXi ホスト
3. Platform Services Controller

警告: 続行する前に、これらすべての要素で TLSv1.0 の無効化と互換性のあるバージョンが確実に実行されるようにします。

<details open><summary>Windows の vCenter Server および Platform Services Controller の場合</summary>

1. Windows Server に接続します。
2. 管理コマンド プロンプトを開きます。
3. 次のコマンドを使用して、ディレクトリを vSphereTlsReconfigurator に変更します。
   
   cd C:\Program Files\VMware\CIS\vSphereTlsReconfigurator\
4. vCenter Server および Platform Services Controller 上のサポートされる全サービスの全構成を手動でバックアップします。 
   
   注： TLS Reconfigurator Utility は、vCenter Server または Platform Services Controller に対する変更が実行されるたびにバックアップ操作を実行します。特定のユーザー ディレクトリのバックアップを作成する必要がある場合にのみ、このプロセスを使用してください。
   1. 次のコマンドを使用して、ディレクトリを VcTlsReconfigurator に変更します。
      
      cd VcTlsReconfigurator
       
   2. 次のコマンドを実行して、バックアップを行います。
      
      directory_path\VcTlsReconfigurator> reconfigureVc backup
      
      これは、デフォルトで次のディレクトリに出力されます。
      
      c:\users\<current user>\appdata\local\temp\<year><month><day>T<time></time>
      
      特定のディレクトリに出力するには、次のコマンドを実行します。
      
      directory_path\VcTlsReconfigurator> reconfigureVc backup -d <backup directory path>
       
   3. 正常なバックアップは、次のように表示されます。

      vCenter Transport Layer Security reconfigurator, version=6.0.0, build=8482376
      For more information, refer to the following article: Log file: "C:\ProgramData\VMware\vCenterServer\logs\vmware\vSphere-TlsReconfigurator\VcTlsReconfigurator.log".
      ================= Backing up vCenter Server TLS configuration ==================
      Using backup directory: c:\users\admini~1\appdata\local\temp\1\20170202T054311
      Backing up: vmsyslogcollector
      Backing up: vspherewebclientsvc
      Backing up: vmware-autodeploy-waiter
      Backing up: rhttpproxy
      Backing up: VMwareSTS
      Backing up: VMWareDirectoryService

   reconfigureVc restore -d <tmp directory / custom backup directory path>

   1. Execute this command to perform restore:

   vCenter Transport Layer Security reconfigurator, version=6.0.0, build=5051284 For more information refer to the following article: https://kb.vmware.com/kb/2148819 Log file: "C:\ProgramData\VMware\vCenterServer\logs\vmware\vSphere-TlsReconfigurator\VcTlsReconfigurator.log".
   vCenter Server is going to be restarted.Do you want to continue (Y/N)? Y ==================== Scanning vCenter Server TLS endpoints =====================

   +--------------------------+-------------------+----------------+
   | Service Name | TLS Endpoint Port | TLS Version(s) |
   +--------------------------+-------------------+----------------+
   | vmsyslogcollector | 1514 | TLSv1.2 |
   | vspherewebclientsvc | 9443 | TLSv1.2 |
   | vmware-autodeploy-waiter | | NOT RUNNING |
   | rhttpproxy | 443 | TLSv1.2 |
   | VMwareSTS | 7444 | TLSv1.2 |
   | VMWareDirectoryService | 636 | TLSv1.2 |
   | VMWareDirectoryService | 11712 | TLSv1.2 |
   +--------------------------+-------------------+----------------+
   ================== Restoring vCenter Server TLS configuration ==================

   Using backup directory: c:\users\lab1ad~1\appdata\local\temp\20170224T150604
   Restoring: vmsyslogcollector
   Restoring: vspherewebclientsvc
   Restoring: vmware-autodeploy-waiter
   Restoring: rhttpproxy
   Restoring: VMwareSTS
   Restoring: VMWareDirectoryService
   ========================== Restarting vCenter Server ===========================

   1. 以下のような出力が表示されます。
5. vCenter Server 上でサポートされる全サービスの全構成を更新します
   
   注：TLSv1.0 を有効にしておく必要のある vCenter Server と通信する製品の場合は、これにより接続が切断されます。
    
   1. vCenter Server 上で TLSv1.0 を無効にし、より大きいバージョンの TLSv1.x を有効にします。
      • TLSv1.0 を無効にして、TLSv1.1 と TLSv1.2 の両方を有効にするには、次のコマンドを実行して再構成を行います。
        
        directory_path\VcTlsReconfigurator> reconfigureVc update -p TLSv1.1 TLSv1.2
         
      • TLSv1.0 と TLSv1.1 を無効にして、TLSv1.2 のみを有効にするには、次のコマンドを実行して再構成を行います。
        
        directory_path\VcTlsReconfigurator> reconfigureVc update -p TLSv1.2
         
   2. 残りの vCenter Server 上でこれを繰り返します。
6. 各 vCenter Server で管理される ESXi ホスト上のサポートされる全サービスの構成を更新します。
    
   1. 次のコマンドを使用して、ディレクトリを EsxTlsReconfigurator に変更します。
      
      cd ..\EsxTlsReconfigurator
       
   2. ESXi ホスト上で TLSv1.0 を無効にして、より大きいバージョンの TLSv1.x を有効にします。これは、TLSv1.0 を無効にして TLSv1.1 と TLSv1.2 を有効にすること、または TLSv1.0 を無効にして TLSv1.2 のみを有効にすることに加えて、ホストごとまたはクラスタごとに行うことができます。 
      
      注：--protocol または -p が含まれていない場合、これはデフォルトで TLSv1.2 のみとなります
       
      • vCenter Server 内にある個々の ESXi ホスト上で TLSv1.0 を無効にして TLSv1.1 と TLSv1.2 の両方を有効にするには、次のコマンドを実行して再構成を行います。
        
        directory_path\EsxTlsReconfigurator> reconfigureEsx vCenterHost -h <ESXi_Host_Name> -u <Administrative_User> -p TLSv1.1 TLSv1.2
         
      • vCenter Server 内にある個々の ESXi ホスト上で TLSv1.0 と TLSv1.1 を無効にして TLSv1.2 のみを有効にするには、次のコマンドを実行して再構成を行います。 
        
        directory_path\EsxTlsReconfigurator> reconfigureEsx vCenterHost -h <ESXi_Host_Name> -u <Administrative_User> -p TLSv1.2
         
      • vCenter Server のホスト クラスタで TLSv1.0 を無効にして TLSv1.1 と TLSv1.2 の両方を有効にするには、次のコマンドを実行して再構成を行います。
        
        directory_path\EsxTlsReconfigurator> reconfigureEsx vCenterCluster -c <Cluster_Name> -u <Administrative_User> -p TLSv1.1 TLSv1.2
         
      • vCenter Server のホスト クラスタで TLSv1.0 と TLSv1.1 を無効にして TLSv1.2 のみを有効にするには、次のコマンドを実行して再構成を行います。 
        
        directory_path\EsxTlsReconfigurator> reconfigureEsx vCenterCluster -c <Cluster_Name> -u <Administrative_User> -p TLSv1.2
         
   3. 完了したら、ホストに再起動のフラグが付きます。ESXi ホストを再起動して、TLS プロトコルの変更を完了します。
       
   4. 必要に応じて、管理対象 vCenter Server 内にある次のクラスタや ESXi ホスト上で、この手順を繰り返します。
7. Platform Services Controller 上でサポートされる全サービスの全構成を更新します 
   
   注：まだ Platform Services Controller に接続している古い 6.0.x または 5.5.x vCenter Server がある場合は、この手順を実行すると、vCenter Servers が PSC との通信を停止します。この手順は、すべての vCenter Server で互換性のあるバージョンが実行されていることを必ず確認してから続行してください。
    
   1. 次のコマンドを使用して、ディレクトリを VcTlsReconfigurator に変更します。
      
      cd C:\Program Files\VMware\CIS\vSphereTlsReconfigurator\VcTlsReconfigurator
       
   2. Platform Services Controller 上で TLSv1.0 を無効にし、より大きいバージョンの TLSv1.x を有効にします。 
      
      注：--protocol または -p が含まれていない場合、これはデフォルトで TLSv1.2 のみとなります
       
      • TLSv1.0 を無効にして、TLSv1.1 と TLSv1.2 の両方を有効にするには、次のコマンドを実行して再構成を行います。
        
        directory_path\VcTlsReconfigurator> reconfigureVc update -p TLSv1.1 TLSv1.2
         
      • TLSv1.0 と TLSv1.1 を無効にして、TLSv1.2 のみを有効にするには、次のコマンドを実行して再構成を行います。 
        
        directory_path\VcTlsReconfigurator> reconfigureVc update -p TLSv1.2
      • スタンドアロンの ESXi サーバで TLSv1.0 を無効にして TLSv1.1 と TLSv1.2 の両方を有効にするには、次のコマンドを実行して再構成を行います。
        
        directory_path/EsxTlsReconfigurator> ./reconfigureEsx ESXiHost -h <ESXi_Host_Name> -u <User> -p TLSv1.1 TLSv1.2
      • スタンドアロンの ESXi サーバで TLSv1.0 と TLSv1.1 を無効にして TLSv1.2 のみを有効にするには、次のコマンドを実行して再構成を行います。
        
        directory_path\VcTlsReconfigurator> reconfigureVc update -p TLSv1.2 
   3. vSphere ドメインにある残りの Platform Services Controller でこの操作を繰り返します。

完了すると、すべての vCenter Server、管理対象 ESXi ホスト、および関連付けられた Platform Services Controllers は、TLSv1.0 を使用しなくなります。

</details> <details><summary>vCenter Server Appliance および Platform Services Controller Appliance の場合</summary>

 

1. SSH セッションを使用して vCenter Server Appliance に接続します。
2. 次のコマンドを実行して、Bash シェルを有効にします。
   
   shell.set --enabled true
    
3. 次のコマンドを実行して、Bash シェルにアクセスします。

shell 
 

完了すると、すべての vCenter Server Appliance、管理対象 ESXi ホスト、および関連付けられた Platform Services Controllers Appliance は、TLSv1.0 を使用しなくなります。

• Bash シェルで、以下のディレクトリに変更します
  
  cd /usr/lib/vmware-vSphereTlsReconfigurator/
• vCenter Server と Platform Services Controller 上のサポートされる全サービスの全構成を手動でバックアップします
  
  注： TLS Reconfigurator Utility は、実行するたびにバックアップを作成します。特定のユーザー ディレクトリのバックアップを作成する必要がある場合にのみ、このプロセスを使用してください。
   
  1. 次のコマンドを実行して、ディレクトリを VcTlsReconfigurator に変更します。
     
     cd VcTlsReconfigurator
      
  2. 次のコマンドを実行して、バックアップを行います。
     
     directory_path/VcTlsReconfigurator> ./reconfigureVc backup
     
     これは、デフォルトで次のディレクトリに出力されます。
     
     /tmp/<year><month><day>T<time></time>
     
     特定のディレクトリに出力するには、次のコマンドを実行します。
     
     directory_path/VcTlsReconfigurator> ./reconfigureVc backup -d <backup directory path>
      
• vCenter Server 上でサポートされる全サービスの全構成を更新します
  
  注：TLSv1.0 を有効にしておく必要のある vCenter Server と通信する製品がある場合は、これにより接続が切断されます。
   
  1. vCenter Server 上で TLSv1.0 を無効にし、より大きいバージョンの TLSv1.x を有効にします。 
      
     • TLSv1.0 を無効にして、TLSv1.1 と TLSv1.2 の両方を有効にするには、次のコマンドを実行して再構成を行います。
       
       directory_path/VcTlsReconfigurator> ./reconfigureVc update -p TLSv1.1 TLSv1.2
        
     • TLSv1.0 と TLSv1.1 を無効にして、TLSv1.2 のみを有効にするには、次のコマンドを実行して再構成を行います。 
       
       directory_path/VcTlsReconfigurator> ./reconfigureVc update -p TLSv1.2
        
  2. 必要に応じて、次の vCenter Server 上でこれを繰り返します。
      
• ESXi ホスト上でサポートされる全サービスの全構成を更新します。これは、TLSv1.0 を無効にして TLSv1.1 と TLSv1.2 を有効にすること、または TLSv1.0 を無効にして TLSv1.2 のみを有効にすることに加えて、ホストごとまたはクラスタごとに行うことができます。 
   
  1. 次のコマンドを使用して、ディレクトリを EsxTlsReconfigurator に変更します。
     
     cd ../EsxTlsReconfigurator
      
  2. ESXi ホスト上で TLSv1.0 を無効にして、より大きいバージョンの TLSv1.x を有効にします。これは、TLSv1.0 を無効にして TLSv1.1 と TLSv1.2 を有効にすること、または TLSv1.0 を無効にして TLSv1.2 のみを有効にすることに加えて、ホストごとまたはクラスタごとに行うことができます。 
     
     注：--protocol または -p が含まれていない場合、これはデフォルトで TLSv1.2 のみとなります
      
     • vCenter Server 内にある個々の ESXi 上で TLSv1.0 を無効にして TLSv1.1 と TLSv1.2 の両方を有効にするには、次のコマンドを実行して再構成を行います。
       
       directory_path/EsxTlsReconfigurator> ./reconfigureEsx vCenterHost -h <ESXi_Host_Name> -u <Administrative_User> -p TLSv1.1 TLSv1.2
        
     • vCenter Server 内にある個々の ESXi 上で TLSv1.0 と TLSv1.1 を無効にして TLSv1.2 のみを有効にするには、次のコマンドを実行して再構成を行います。 
       
       directory_path/EsxTlsReconfigurator> ./reconfigureEsx vCenterHost -h <ESXi_Host_Name> -u <Administrative_User> -p TLSv1.2
        
     • ESXi クラスタで TLSv1.0 を無効にして TLSv1.1 と TLSv1.2 の両方を有効にするには、次のコマンドを実行して再構成を行います。
       
       directory_path/EsxTlsReconfigurator> ./reconfigureEsx vCenterCluster -c <Cluster_Name> -u <Administrative_User> -p TLSv1.1 TLSv1.2
        
     • ESXi クラスタで TLSv1.0 と TLSv1.1 を無効にして TLSv1.2 のみを有効にするには、次のコマンドを実行して再構成を行います。 
       
       directory_path/EsxTlsReconfigurator> ./reconfigureEsx vCenterCluster -c <Cluster_Name> -u <Administrative_User> -p TLSv1.2
     • スタンドアロンの ESXi サーバで TLSv1.0 を無効にして TLSv1.1 と TLSv1.2 の両方を有効にするには、次のコマンドを実行して再構成を行います。
       
       directory_path/EsxTlsReconfigurator> ./reconfigureEsx ESXiHost -h <ESXi_Host_Name> -u <User> -p TLSv1.1 TLSv1.2
     • スタンドアロンの ESXi サーバで TLSv1.0 と TLSv1.1 を無効にして TLSv1.2 のみを有効にするには、次のコマンドを実行して再構成を行います。
       
       directory_path\VcTlsReconfigurator> reconfigureVc update -p TLSv1.2
  3. 完了したら、ホストに再起動のフラグが付きます。ESXi ホストを再起動して、TLS プロトコルの変更を完了します。
  4. 必要に応じて、管理対象 vCenter Server 内にある次のクラスタや ESXi ホスト上で、この手順を繰り返します。
      
• Platform Services Controller 上でサポートされる全サービスの全構成を更新します
  
  注：まだ Platform Services Controller に接続している古い vCenter Servers 6.0.x または 5.5.x がある場合は、この手順を実行すると、vCenter Servers が PSC との通信を停止します。この手順は、すべての vCenter Server で互換性のあるバージョンが実行されていることを必ず確認してから続行してください。
   
  1. 次のコマンドを使用して、ディレクトリを VcTlsReconfigurator に変更します。
     
     cd /usr/lib/vmware-vSphereTlsReconfigurator/VcTlsReconfigurator
      
  2. Platform Services Controller 上で TLSv1.0 を無効にし、より大きいバージョンの TLSv1.x を有効にします。 
     
     注：--protocol または -p が含まれていない場合、これはデフォルトで TLSv1.2 のみとなります
      
     • TLSv1.0 を無効にして、TLSv1.1 と TLSv1.2 の両方を有効にするには、次のコマンドを実行して再構成を行います
       
       directory_path\VcTlsReconfigurator> ./reconfigureVc update -p TLSv1.1 TLSv1.2
     • TLSv1.0 と TLSv1.1 を無効にして、TLSv1.2 のみを有効にするには、次のコマンドを実行して再構成を行います
       
       directory_path\VcTlsReconfigurator> ./reconfigureVc update -p TLSv1.2
        
  3. vSphere ドメインにある残りの Platform Services Controller でこの操作を繰り返します。

完了すると、すべてのvCenter Serverアプライアンス、管理対象のESXiホスト、および関連するプラットフォームサービスコントローラアプライアンスは、TLSv1.0を使用しなくなります。

</details>

Managing TLS protocol configuration for vSphere 6.0 Update 3