U VMware nato mají jasný postup (dokonce několik postůpů), ale i když hoši píšou, že se to dá aplikovat i na standalone ESXíčka, tak nevím, protože ten jejich skript, vyžaduje prostředí nainstalovaného pythonu na vCenteru a už při ověřování proměnných končí chybou. Takže musela přijít na řadu nějaká ta investigativní činnost… a protože si nerad namáhám mozkové závity dvakrát tak si sem hodím 😉 .
Začnu dobrou zprávou: Nepotřebuje to restart ESXi hypervisoru, pouze servisů (narozdíl od ofiko postupu).
1. Zakázání TLS1.0 na portu 5989 (Secure server for CIM/Common Information Model)
- connect to ESXi via SSH (potřeba povolit SSH: Configuration/Security Profiles/Services)
- edit sfcb.cfg: vi /etc/sfcb/sfcb.cfg
- <Insert>
enableTLSv1: false enableTLSv1_1: true enableTLSv1_2: true
- <ESC/:wq!>
- <Insert>
- restart service: /etc/init.d/sfcbd-watchdog restart
2. Zakázání TLS1.0 na portu 443
- connect to ESXi via SSH (potřeba povolit SSH: Configuration/Security Profiles/Services)
- run: esxcli system settings advanced set -o /UserVars/ESXiRhttpproxyDisabledProtocols -s „sslv3,tlsv1“
- Restart rhttpproxy service: /etc/init.d/rhttpproxy restart
Skončím špatnou zprávou, nepodařilo se mi pak ale rozchodit „těžkého“ vClienta, i když existuje postup, kdy stačí do souboru:
„c:\Program Files (x86)\VMware\Infrastructure\Virtual Infrastructure Client\Launcher\VpxClient.exe.config“ přidat:
<!– <add key = „EnableTLS12“ value = „true“ /> –>
ale i tak nic, existují ještě články o souvislosti s .NET, zkusil jsem toho pár, ale bezvýsledně, uvídíme, snad nato budu mít zas chvilku, jinak nezbývá než webClient…
