vSphere 6.5 – Désactivation de TLS 1.0 et 1.1

Un petit sujet pour vous aider à désactiver les versions obsolètes de TLS pour votre environement vSphere 6.5. Ce topic n’apporte rien de plus qu’un éclaircissement de l’article KB2147469, ainsi que quelques astuces qui pourraient vous aider à mener à bien cette opération.

Pour information, TLS 1.0 et 1.1 seraient automatiquement désactivés à partir de vSphere 6.7.

Je vous propose de lire cet article qui explique pour quelles raisons désactiver ces versions, ainsi que celui-ci qui explique ce que c’est que TLS/SSL.

Avant d’aller plus loin, noter que vous ne pouvez désactiver TLS qu’à partir d’un environment qui tourne avec la même version. En gros, si vous avez un vCenter en 6.5, vous ne pouvez désactiver TLS que pour ESXi 6.5, et non avec ESXi 6.0 ou 5.5.

Cependant, il y a une petite exception.
Avec un vCenter en 6.5 U2, vous pouvez désactiver TLS sur un ESXi en 6.0 U3.

Les ordres de suppressions de TLS dans le cas de l’utilisation de l’Appliance:
1. vCenter
2. ESXi
3. PSC

 

Commencer par télécharer le packet RPM vSphereTlsReconfigurator que vous allez placer dans le dossier /tmp du vCenter, puis lancer l’installation du packet.

cd /tmp

rpm -Uvh VMware-vSphereTlsReconfigurator-version-build_number.x86_64.rpm

Une fois le paquet installé, les scripts devraient se trouver dans:

/usr/lib/vmware-vSphereTlsReconfigurator/VcTlsReconfigurator

/usr/lib/vmware-vSphereTlsReconfigurator/EsxTlsReconfigurator

 

I. VCSA et PSC

La désactivation de TLS du VCSA (vCenter Appliance) et du PSC se procède de la même façon. Je l’ai déjà dit plus haut, mais je le répète encore une fois. Il ne faut pas désactiver TLS sur le PSC tant que ce n’est pas fait sur VCSA et les différents ESXis.

 

Garder une copie de vos configurations.

cd /usr/lib/vmware-vSphereTlsReconfigurator/

cd VcTlsReconfigurator

./reconfigureVc backup

 

Désactiver les versions TLS v1 et 1.1.

./reconfigureVc update -p TLSv1.2

 

Une fois c’est fait, vous devrez avoir.

 

II. ESXi

Placer vous dans le dossier EsxTlsReconfigurator.

cd /usr/lib/vmware-vSphereTlsReconfigurator/EsxTlsReconfigurator

Vous avez le choix entre la désactivation du TLS par server ou au niveau du cluster.

Dans le cas où vous souhaitez faire la manipulation par server,

./reconfigureEsx vCenterHost -h <ESXi_Host_Name> -u <Administrative_User> -p TLSv1.2

Pour la désactivation au niveau du cluster, il suffit de remplacer vCenterHost par vCenterCluster.

./reconfigureEsx vCenterCluster -c <Cluster_Name> -u <Administrative_User> -p TLSv1.2

 

N’oubliez pas de redémarrer les serveurs ESXi pour que les modifications prennent effet.

III. Combinaison ESXi 6.0u3 avec VCSA 6.5u2

Vous allez remarquer vous le même script utilisé pour désactiver TLS sur VCSA 6.5 ne fonctionnera pas avec un ESXi 6.0.

Validating product version at: "localhost".
Validating ESXi host: "HOST NAME".
Host "HOST NAME" is of unsupported version: "6.0".
Least supported version: "6.5".
Skipping reconfiguration of ESXi host "HOST NAME"

1. Télécharger cette fois ci TLS Reconfigure 6.0 U3

2. Désinstaller l’utilitaire pour 6.5 dans VCSA

rpm -e VMware-vSphereTlsReconfigurator-6.5.0-7766806.x86_64

3. Installer l’utilitaire TLS reconfiguration utility 6.0 dans un dossier /tmp du VCSA

rpm -Uvh VMware-vSphereTlsReconfigurator-6.0.0-5051284.x86_64

4. Déconnecter l’hôte ESXi à reconfigurer (n’enlevez surtout pas l’hôte de l’inventaire du vCenter)

5. Remplacer « vCenterHost » par « ESXiHost » dans la commande vue plus haut.

./reconfigureEsx ESXiHost -h <ESXi_Host_Name> -u root -p TLSv1.2

6. Reconnecter ESXi à vCenter

7. Placer l’hôte en maintenance mode

8. Rebooter le server

 

IV. Vérification

Vérifier que TLS est bien désactivé. Pour celà, à partir de n’importe quelle machine qui tourne sous linux, et même à partir du vCenter, lancer la commande ci-dessous.

openssl s_client -connect <ESXi_Host_Name>:443 -tlsX

Remplacer X par 1, 1_1 ou 1_2.

 

openssl s_client -connect <ESXi_Host_Name>:443 -tls1

openssl s_client -connect <ESXi_Host_Name>:443 -tls1_2

Vous devriez avoir une erreur « ssl handshake failure » si la version du TLS n’est pas supportée ou, est désactivée.

 

Sources:

Protocole SSL et TLS
Dépréciation de TLS v1.0/1.1 et application de TLS v1.2
Ports That Support Disabling TLS Versions
Managing TLS protocol configuration for vSphere 6.5/6.7 (2147469)
How can I verify if TLS 1.2 is supported on a remote web server from the RHEL/CentOS shell?

 

Publicités