Zakázání TLS 1.0 na ESXi hypervizoru

U VMware nato mají jasný postup (dokonce několik postůpů), ale i když hoši píšou, že se to dá aplikovat i na standalone ESXíčka, tak nevím, protože ten jejich skript, vyžaduje prostředí nainstalovaného pythonu na vCenteru a už při ověřování proměnných končí chybou. Takže musela přijít na řadu nějaká ta investigativní činnost… a protože si nerad namáhám mozkové závity dvakrát tak si sem hodím 😉 .

Začnu dobrou zprávou: Nepotřebuje to restart ESXi hypervisoru, pouze servisů (narozdíl od ofiko postupu).

1. Zakázání TLS1.0 na portu 5989 (Secure server for CIM/Common Information Model) 

  • connect to ESXi via SSH (potřeba povolit SSH: Configuration/Security Profiles/Services)
  • edit sfcb.cfg: vi /etc/sfcb/sfcb.cfg 
    • <Insert>
      enableTLSv1: false
      enableTLSv1_1: true
      enableTLSv1_2: true
    • <ESC/:wq!>
  • restart service: /etc/init.d/sfcbd-watchdog restart

2. Zakázání TLS1.0 na portu 443

  • connect to ESXi via SSH (potřeba povolit SSH: Configuration/Security Profiles/Services)
  • run: esxcli system settings advanced set -o /UserVars/ESXiRhttpproxyDisabledProtocols -s „sslv3,tlsv1“
  • Restart rhttpproxy service: /etc/init.d/rhttpproxy restart

Skončím špatnou zprávou, nepodařilo se mi pak ale rozchodit „těžkého“ vClienta, i když existuje postup, kdy stačí do souboru:
„c:\Program Files (x86)\VMware\Infrastructure\Virtual Infrastructure Client\Launcher\VpxClient.exe.config“ přidat:

<!– <add key = „EnableTLS12“ value = „true“ /> –>

ale i tak nic, existují ještě články o souvislosti s .NET, zkusil jsem toho pár, ale bezvýsledně, uvídíme, snad nato budu mít zas chvilku, jinak nezbývá než webClient…

 

About Author:

Error! Keyboard not detected. Press any key to continue.