<meta content="text/html; charset=UTF-8" http-equiv="Content-Type">
vSphere 環境での TLSv1.0 の無効化と TLSv1.1 や TLSv1.2 の有効化は、マルチフェーズのプロセスになります。
- TLS Reconfigurator Utilityを、vCenter Server と Platform Services Controller にインストールします。Platform Services Controller が vCenter Server に組み込まれている場合は、ユーティリティを vCenter Server にインストールすれば十分です。
- vCenter Server で TLSv1.0 の使用を無効にして、TLSv1.1 と TLSv1.2 の使用を有効にするか、TLSv1.2 のみを使用します。
- 次に、vCenter Server で管理される ESXi ホストが、TLSv1.0 の使用を無効にし、TLSv1.1 および TLSv1.2 の使用、または TLSv1.2 のみの使用を有効にするように更新されます。ホストごとまたはクラスタごとのレベルでも変更できます。
- Platform Services Controller は、TLSv1.0 の使用を無効にして TLSv1.1 や TLSv1.2 の使用を有効にするように更新されます。vCenter Server 6.0 Update 1 以前のバージョンでは、TLSv1.2 のみが有効な Platform Services Controller はサポートされていません。PSC で TLSv1.0 を無効にする前に、vCenter Server を PSC と同じバージョンにアップグレードするか、PSC マシンで TLSv1.0 を有効のままにしておきます。
TLS Reconfiguration Utility は、VcTlsReconfigurator コンポーネントを使用して vCenter Server および Platform Services Controller の TLS プロトコルの管理をカバーし、EsxTlsReconfigurator コンポーネントを使用して ESXi ホストおよびクラスタの TLS プロトコルの管理をカバーする、2 つのコンポーネントとともに配布されます。これらのコンポーネントは、以下のディレクトリにあります。
vCenter Server for Windows の場合:
- C:\Program Files\VMware\CIS\vSphereTLSReconfigurator\VcTlsReconfigurator
- C:\Program Files\VMware\CIS\vSphereTLSReconfigurator\EsxTlsReconfigurator
vCenter Server Appliance の場合:
- /usr/lib/vmware-vSphereTlsReconfigurator/VcTlsReconfigurator
- /usr/lib/vmware-vSphereTlsReconfigurator/EsxTlsReconfigurator
TLS 再構成ユーティリティのインストール
TLS Reconfiguration Utility は、独立型のダウンロード可能なユーティリティです。ユーザーは、vSphere 環境内で TLSv1.0 を無効にするためにユーティリティをインストールする必要があります。TLS 再構成ユーティリティをインストールするには、以下の手順を実行します。
- My.VMware.com for vSphere に移動します。
- 環境内で Windows を使用するか、アプライアンスを使用するかに応じて、以下をダウンロードします。
vCenter Server for Windows の場合: VMware-vSphereTlsReconfigurator-6.0.0-5051284.x86_64.msi
vCenter Server Appliance の場合: VMware-vSphereTlsReconfigurator-6.0.0-5051284.x86_64.rpm
- ファイルを vCenter Server や Platform Services Controller にアップロードします。
vCenter Server Appliance および Platform Services Controller Appliance の場合は、SCP クライアントを使用してファイルをアップロードします。
Windows vCenter Server または Windows Platform Services Controller の場合は、該当するファイルをコピーします。
-
- vCenter Server for Windows の場合
-
-
- vCenter Server を実行している Windows Server に、管理ユーザーとしてログインします。
- 次のファイルを見つけます: VMware-vSphereTlsReconfigurator-6.0.0-5051284.x86_64.msi
- MSI ファイルをインストールします。
-
- vCenter Server Applianceの場合
-
- root 認証情報と SSH セッションを使用して、vCenter Server Appliance に接続します。
- 次のコマンドを実行して、Bash シェルを有効にします。
shell.set --enabled true
- 次のコマンドを実行して、Bash シェルにアクセスします。
shell
- Bash シェルで、VMware-vSphereTlsReconfigurator-6.0.0-5051284.x86_64.rpm がアップロードされたディレクトリを特定します。
- 次のコマンドを実行します。
rpm -Uvh VMware-vSphereTlsReconfigurator-6.0.0-5051284.x86_64.rpm
TLS 再構成ユーティリティを使用した TLSv1.0 の無効化
このセクションでは、TLSv1.0 の無効化と TLSv1.1 および TLSv1.2 の有効化、TLSv1.0 と TLSv1.1 の無効化、vCenter Server、Platform Services Controller、および ESXi ホストの全体にわたる TLSv1.2 のみの有効化について説明します。プロトコルの無効化は、次の順序で行う必要があります。
- vCenter Server
- ESXi ホスト
- Platform Services Controller
警告: 続行する前に、これらすべての要素で TLSv1.0 の無効化と互換性のあるバージョンが確実に実行されるようにします。
<details open><summary>
Windows の vCenter Server および Platform Services Controller の場合</summary>
- Windows Server に接続します。
- 管理コマンド プロンプトを開きます。
- 次のコマンドを使用して、ディレクトリを vSphereTlsReconfigurator に変更します。
cd C:\Program Files\VMware\CIS\vSphereTlsReconfigurator\ - vCenter Server および Platform Services Controller 上のサポートされる全サービスの全構成を手動でバックアップします。
注: TLS Reconfigurator Utility は、vCenter Server または Platform Services Controller に対する変更が実行されるたびにバックアップ操作を実行します。特定のユーザー ディレクトリのバックアップを作成する必要がある場合にのみ、このプロセスを使用してください。
- 次のコマンドを使用して、ディレクトリを VcTlsReconfigurator に変更します。
cd VcTlsReconfigurator
- 次のコマンドを実行して、バックアップを行います。
directory_path\VcTlsReconfigurator> reconfigureVc backup
これは、デフォルトで次のディレクトリに出力されます。
c:\users\<current user>\appdata\local\temp\<year><month><day>T<time></time>
特定のディレクトリに出力するには、次のコマンドを実行します。
directory_path\VcTlsReconfigurator> reconfigureVc backup -d <backup directory path>
- 正常なバックアップは、次のように表示されます。
vCenter Transport Layer Security reconfigurator, version=6.0.0, build=8482376
For more information, refer to the following article: Log file: "C:\ProgramData\VMware\vCenterServer\logs\vmware\vSphere-TlsReconfigurator\VcTlsReconfigurator.log".
================= Backing up vCenter Server TLS configuration ==================
Using backup directory: c:\users\admini~1\appdata\local\temp\1\20170202T054311
Backing up: vmsyslogcollector
Backing up: vspherewebclientsvc
Backing up: vmware-autodeploy-waiter
Backing up: rhttpproxy
Backing up: VMwareSTS
Backing up: VMWareDirectoryService
reconfigureVc restore -d <tmp directory / custom backup directory path>
- Execute this command to perform restore:
vCenter Transport Layer Security reconfigurator, version=6.0.0, build=5051284 For more information refer to the following article: https://kb.vmware.com/kb/2148819 Log file: "C:\ProgramData\VMware\vCenterServer\logs\vmware\vSphere-TlsReconfigurator\VcTlsReconfigurator.log".
vCenter Server is going to be restarted.Do you want to continue (Y/N)? Y ==================== Scanning vCenter Server TLS endpoints =====================
+--------------------------+-------------------+----------------+
| Service Name | TLS Endpoint Port | TLS Version(s) |
+--------------------------+-------------------+----------------+
| vmsyslogcollector | 1514 | TLSv1.2 |
| vspherewebclientsvc | 9443 | TLSv1.2 |
| vmware-autodeploy-waiter | | NOT RUNNING |
| rhttpproxy | 443 | TLSv1.2 |
| VMwareSTS | 7444 | TLSv1.2 |
| VMWareDirectoryService | 636 | TLSv1.2 |
| VMWareDirectoryService | 11712 | TLSv1.2 |
+--------------------------+-------------------+----------------+
================== Restoring vCenter Server TLS configuration ==================
Using backup directory: c:\users\lab1ad~1\appdata\local\temp\20170224T150604
Restoring: vmsyslogcollector
Restoring: vspherewebclientsvc
Restoring: vmware-autodeploy-waiter
Restoring: rhttpproxy
Restoring: VMwareSTS
Restoring: VMWareDirectoryService
========================== Restarting vCenter Server ===========================
- 以下のような出力が表示されます。
- vCenter Server 上でサポートされる全サービスの全構成を更新します
注:TLSv1.0 を有効にしておく必要のある vCenter Server と通信する製品の場合は、これにより接続が切断されます。
- vCenter Server 上で TLSv1.0 を無効にし、より大きいバージョンの TLSv1.x を有効にします。
- TLSv1.0 を無効にして、TLSv1.1 と TLSv1.2 の両方を有効にするには、次のコマンドを実行して再構成を行います。
directory_path\VcTlsReconfigurator> reconfigureVc update -p TLSv1.1 TLSv1.2
- TLSv1.0 と TLSv1.1 を無効にして、TLSv1.2 のみを有効にするには、次のコマンドを実行して再構成を行います。
directory_path\VcTlsReconfigurator> reconfigureVc update -p TLSv1.2
- 残りの vCenter Server 上でこれを繰り返します。
- 各 vCenter Server で管理される ESXi ホスト上のサポートされる全サービスの構成を更新します。
- 次のコマンドを使用して、ディレクトリを EsxTlsReconfigurator に変更します。
cd ..\EsxTlsReconfigurator
- ESXi ホスト上で TLSv1.0 を無効にして、より大きいバージョンの TLSv1.x を有効にします。これは、TLSv1.0 を無効にして TLSv1.1 と TLSv1.2 を有効にすること、または TLSv1.0 を無効にして TLSv1.2 のみを有効にすることに加えて、ホストごとまたはクラスタごとに行うことができます。
注:--protocol または -p が含まれていない場合、これはデフォルトで TLSv1.2 のみとなります
- vCenter Server 内にある個々の ESXi ホスト上で TLSv1.0 を無効にして TLSv1.1 と TLSv1.2 の両方を有効にするには、次のコマンドを実行して再構成を行います。
directory_path\EsxTlsReconfigurator> reconfigureEsx vCenterHost -h <ESXi_Host_Name> -u <Administrative_User> -p TLSv1.1 TLSv1.2
- vCenter Server 内にある個々の ESXi ホスト上で TLSv1.0 と TLSv1.1 を無効にして TLSv1.2 のみを有効にするには、次のコマンドを実行して再構成を行います。
directory_path\EsxTlsReconfigurator> reconfigureEsx vCenterHost -h <ESXi_Host_Name> -u <Administrative_User> -p TLSv1.2
- vCenter Server のホスト クラスタで TLSv1.0 を無効にして TLSv1.1 と TLSv1.2 の両方を有効にするには、次のコマンドを実行して再構成を行います。
directory_path\EsxTlsReconfigurator> reconfigureEsx vCenterCluster -c <Cluster_Name> -u <Administrative_User> -p TLSv1.1 TLSv1.2
- vCenter Server のホスト クラスタで TLSv1.0 と TLSv1.1 を無効にして TLSv1.2 のみを有効にするには、次のコマンドを実行して再構成を行います。
directory_path\EsxTlsReconfigurator> reconfigureEsx vCenterCluster -c <Cluster_Name> -u <Administrative_User> -p TLSv1.2
- 完了したら、ホストに再起動のフラグが付きます。ESXi ホストを再起動して、TLS プロトコルの変更を完了します。
- 必要に応じて、管理対象 vCenter Server 内にある次のクラスタや ESXi ホスト上で、この手順を繰り返します。
- Platform Services Controller 上でサポートされる全サービスの全構成を更新します
注:まだ Platform Services Controller に接続している古い 6.0.x または 5.5.x vCenter Server がある場合は、この手順を実行すると、vCenter Servers が PSC との通信を停止します。この手順は、すべての vCenter Server で互換性のあるバージョンが実行されていることを必ず確認してから続行してください。
- 次のコマンドを使用して、ディレクトリを VcTlsReconfigurator に変更します。
cd C:\Program Files\VMware\CIS\vSphereTlsReconfigurator\VcTlsReconfigurator
- Platform Services Controller 上で TLSv1.0 を無効にし、より大きいバージョンの TLSv1.x を有効にします。
注:--protocol または -p が含まれていない場合、これはデフォルトで TLSv1.2 のみとなります
- TLSv1.0 を無効にして、TLSv1.1 と TLSv1.2 の両方を有効にするには、次のコマンドを実行して再構成を行います。
directory_path\VcTlsReconfigurator> reconfigureVc update -p TLSv1.1 TLSv1.2
- TLSv1.0 と TLSv1.1 を無効にして、TLSv1.2 のみを有効にするには、次のコマンドを実行して再構成を行います。
directory_path\VcTlsReconfigurator> reconfigureVc update -p TLSv1.2 - スタンドアロンの ESXi サーバで TLSv1.0 を無効にして TLSv1.1 と TLSv1.2 の両方を有効にするには、次のコマンドを実行して再構成を行います。
directory_path/EsxTlsReconfigurator> ./reconfigureEsx ESXiHost -h <ESXi_Host_Name> -u <User> -p TLSv1.1 TLSv1.2 - スタンドアロンの ESXi サーバで TLSv1.0 と TLSv1.1 を無効にして TLSv1.2 のみを有効にするには、次のコマンドを実行して再構成を行います。
directory_path\VcTlsReconfigurator> reconfigureVc update -p TLSv1.2
- vSphere ドメインにある残りの Platform Services Controller でこの操作を繰り返します。
完了すると、すべての vCenter Server、管理対象 ESXi ホスト、および関連付けられた Platform Services Controllers は、TLSv1.0 を使用しなくなります。
</details> <details><summary>
vCenter Server Appliance および Platform Services Controller Appliance の場合</summary>
- SSH セッションを使用して vCenter Server Appliance に接続します。
- 次のコマンドを実行して、Bash シェルを有効にします。
shell.set --enabled true
- 次のコマンドを実行して、Bash シェルにアクセスします。
shell
完了すると、すべての vCenter Server Appliance、管理対象 ESXi ホスト、および関連付けられた Platform Services Controllers Appliance は、TLSv1.0 を使用しなくなります。
- Bash シェルで、以下のディレクトリに変更します
cd /usr/lib/vmware-vSphereTlsReconfigurator/ - vCenter Server と Platform Services Controller 上のサポートされる全サービスの全構成を手動でバックアップします
注: TLS Reconfigurator Utility は、実行するたびにバックアップを作成します。特定のユーザー ディレクトリのバックアップを作成する必要がある場合にのみ、このプロセスを使用してください。
- 次のコマンドを実行して、ディレクトリを VcTlsReconfigurator に変更します。
cd VcTlsReconfigurator
- 次のコマンドを実行して、バックアップを行います。
directory_path/VcTlsReconfigurator> ./reconfigureVc backup
これは、デフォルトで次のディレクトリに出力されます。
/tmp/<year><month><day>T<time></time>
特定のディレクトリに出力するには、次のコマンドを実行します。
directory_path/VcTlsReconfigurator> ./reconfigureVc backup -d <backup directory path>
- vCenter Server 上でサポートされる全サービスの全構成を更新します
注:TLSv1.0 を有効にしておく必要のある vCenter Server と通信する製品がある場合は、これにより接続が切断されます。
- vCenter Server 上で TLSv1.0 を無効にし、より大きいバージョンの TLSv1.x を有効にします。
- TLSv1.0 を無効にして、TLSv1.1 と TLSv1.2 の両方を有効にするには、次のコマンドを実行して再構成を行います。
directory_path/VcTlsReconfigurator> ./reconfigureVc update -p TLSv1.1 TLSv1.2
- TLSv1.0 と TLSv1.1 を無効にして、TLSv1.2 のみを有効にするには、次のコマンドを実行して再構成を行います。
directory_path/VcTlsReconfigurator> ./reconfigureVc update -p TLSv1.2
- 必要に応じて、次の vCenter Server 上でこれを繰り返します。
- ESXi ホスト上でサポートされる全サービスの全構成を更新します。これは、TLSv1.0 を無効にして TLSv1.1 と TLSv1.2 を有効にすること、または TLSv1.0 を無効にして TLSv1.2 のみを有効にすることに加えて、ホストごとまたはクラスタごとに行うことができます。
- 次のコマンドを使用して、ディレクトリを EsxTlsReconfigurator に変更します。
cd ../EsxTlsReconfigurator
- ESXi ホスト上で TLSv1.0 を無効にして、より大きいバージョンの TLSv1.x を有効にします。これは、TLSv1.0 を無効にして TLSv1.1 と TLSv1.2 を有効にすること、または TLSv1.0 を無効にして TLSv1.2 のみを有効にすることに加えて、ホストごとまたはクラスタごとに行うことができます。
注:--protocol または -p が含まれていない場合、これはデフォルトで TLSv1.2 のみとなります
- vCenter Server 内にある個々の ESXi 上で TLSv1.0 を無効にして TLSv1.1 と TLSv1.2 の両方を有効にするには、次のコマンドを実行して再構成を行います。
directory_path/EsxTlsReconfigurator> ./reconfigureEsx vCenterHost -h <ESXi_Host_Name> -u <Administrative_User> -p TLSv1.1 TLSv1.2
- vCenter Server 内にある個々の ESXi 上で TLSv1.0 と TLSv1.1 を無効にして TLSv1.2 のみを有効にするには、次のコマンドを実行して再構成を行います。
directory_path/EsxTlsReconfigurator> ./reconfigureEsx vCenterHost -h <ESXi_Host_Name> -u <Administrative_User> -p TLSv1.2
- ESXi クラスタで TLSv1.0 を無効にして TLSv1.1 と TLSv1.2 の両方を有効にするには、次のコマンドを実行して再構成を行います。
directory_path/EsxTlsReconfigurator> ./reconfigureEsx vCenterCluster -c <Cluster_Name> -u <Administrative_User> -p TLSv1.1 TLSv1.2
- ESXi クラスタで TLSv1.0 と TLSv1.1 を無効にして TLSv1.2 のみを有効にするには、次のコマンドを実行して再構成を行います。
directory_path/EsxTlsReconfigurator> ./reconfigureEsx vCenterCluster -c <Cluster_Name> -u <Administrative_User> -p TLSv1.2 - スタンドアロンの ESXi サーバで TLSv1.0 を無効にして TLSv1.1 と TLSv1.2 の両方を有効にするには、次のコマンドを実行して再構成を行います。
directory_path/EsxTlsReconfigurator> ./reconfigureEsx ESXiHost -h <ESXi_Host_Name> -u <User> -p TLSv1.1 TLSv1.2 - スタンドアロンの ESXi サーバで TLSv1.0 と TLSv1.1 を無効にして TLSv1.2 のみを有効にするには、次のコマンドを実行して再構成を行います。
directory_path\VcTlsReconfigurator> reconfigureVc update -p TLSv1.2
- 完了したら、ホストに再起動のフラグが付きます。ESXi ホストを再起動して、TLS プロトコルの変更を完了します。
- 必要に応じて、管理対象 vCenter Server 内にある次のクラスタや ESXi ホスト上で、この手順を繰り返します。
- Platform Services Controller 上でサポートされる全サービスの全構成を更新します
注:まだ Platform Services Controller に接続している古い vCenter Servers 6.0.x または 5.5.x がある場合は、この手順を実行すると、vCenter Servers が PSC との通信を停止します。この手順は、すべての vCenter Server で互換性のあるバージョンが実行されていることを必ず確認してから続行してください。
- 次のコマンドを使用して、ディレクトリを VcTlsReconfigurator に変更します。
cd /usr/lib/vmware-vSphereTlsReconfigurator/VcTlsReconfigurator
- Platform Services Controller 上で TLSv1.0 を無効にし、より大きいバージョンの TLSv1.x を有効にします。
注:--protocol または -p が含まれていない場合、これはデフォルトで TLSv1.2 のみとなります
- TLSv1.0 を無効にして、TLSv1.1 と TLSv1.2 の両方を有効にするには、次のコマンドを実行して再構成を行います
directory_path\VcTlsReconfigurator> ./reconfigureVc update -p TLSv1.1 TLSv1.2 - TLSv1.0 と TLSv1.1 を無効にして、TLSv1.2 のみを有効にするには、次のコマンドを実行して再構成を行います
directory_path\VcTlsReconfigurator> ./reconfigureVc update -p TLSv1.2
- vSphere ドメインにある残りの Platform Services Controller でこの操作を繰り返します。
完了すると、すべてのvCenter Serverアプライアンス、管理対象のESXiホスト、および関連するプラットフォームサービスコントローラアプライアンスは、TLSv1.0を使用しなくなります。
</details>