Use o comando ciphers da ferramenta de gerenciamento de célula para configurar os pacotes de codificação que a célula oferece para usar durante o processo de handshake de SSL.
Observação: O comando do
ciphers só se aplica ao conjunto de certificados que o
VMware Cloud Director usa para HTTPS e comunicações de proxy do console, e não aos certificados que o dispositivo do
VMware Cloud Director usa para sua interface de usuário e API de gerenciamento de dispositivo.
Quando um cliente faz uma conexão SSL com uma célula do VMware Cloud Director, a célula oferece para usar apenas as codificações configuradas na sua lista padrão de codificações permitidas. Várias codificações não estão nessa lista, porque não são seguras o suficiente para proteger a conexão ou porque são conhecidas por contribuir com falhas de conexão SSL.
Quando você instala ou atualiza o
VMware Cloud Director, o script de instalação ou atualização examina os certificados da célula. Se qualquer um dos certificados for criptografado usando uma codificação que não esteja na lista de codificações permitidas, a instalação ou a atualização falhará. Você pode realizar as seguintes etapas para substituir os certificados e reconfigurar a lista de codificações permitidas:
- Crie certificados que não usem codificações não autorizadas. Você pode usar o cell-management-tool ciphers -a, conforme mostrado no exemplo abaixo para listar todas as codificações permitidas na configuração padrão.
- Use o comando cell-management-tool certificates para substituir os certificados existentes da célula pelos novos.
- Use o comando cell-management-tool ciphers para reconfigurar a lista de codificações permitidas e incluir todas as codificações necessárias para uso com os novos certificados.
Importante: Como o console do VMRC requer o uso das codificações AES256-SHA e AES128-SHA, não é possível desautorizar os clientes do VMware Cloud Director se eles usarem o console do VMRC.
Para gerenciar a lista de codificações SSL permitidas, use uma linha de comando com o seguinte formato:
cell-management-tool ciphers options
| Opção | Argumento | Descrição |
|---|---|---|
| --help (-h) | Nenhum | Fornece um resumo dos comandos disponíveis nessa categoria. |
| --all-allowed (-a) | Nenhuma | Liste todas as cifras com suporte do VMware Cloud Director. |
| --compatible-reset (-c) (Obsoleto) | Nenhum | Obsoleto. Use a opção --reset para redefinir a lista padrão de codificações permitidas. |
| --disallow (-d) | Lista separada por vírgulas de nomes de cifras. | Não permitir as cifras na lista separada por vírgulas especificada. Toda vez que você executar essa opção, deverá incluir a lista completa de codificações que deseja desativar, pois a execução da opção substitui a configuração anterior.
Importante: Executar a opção sem nenhum valor ativa todas as cifras.
Para exibir todas as cifras possíveis, execute a opção -a.
Importante: Você deve reiniciar a célula após a execução de
cifras--proibir.
|
| --list (-l) | Nenhuma | Liste o conjunto de cifras permitidas que estão em uso no momento. |
| --reset (-r) | Nenhuma | Redefinir a lista padrão de codificações permitidas. Se os certificados da célula usarem codificações não autorizadas, você não poderá fazer uma conexão SSL com a célula até instalar novos certificados que usem uma codificação permitida.
Importante: Você deve reiniciar a célula após a execução de
cifras--redefinir.
|
Desautorizar duas codificações
O VMware Cloud Director inclui uma lista pré-configurada de codificações ativadas.
Este exemplo mostra como ativar codificações adicionais da lista de codificações permitidas e como desautorizar codificações que você não deseja usar.
- Obtenha a lista das cifras que estão ativadas por padrão.
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ciphers -l
A saída do comando retorna a lista de cifras ativadas.Allowed ciphers: * TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- Obtenha uma lista de todas as cifras que a célula pode oferecer durante um handshake de SSL.
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ciphers -a
A saída do comando retorna a lista de cifras permitidas.# ./cell-management-tool ciphers -a Product default ciphers: * TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 * TLS_RSA_WITH_AES_256_GCM_SHA384 * TLS_RSA_WITH_AES_128_GCM_SHA256 * TLS_RSA_WITH_AES_256_CBC_SHA256 * TLS_ECDH_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDH_RSA_WITH_AES_128_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA
- Especifique as codificações a serem desativadas.
Se você executar o comando e não desativar explicitamente uma codificação, ela será ativada.
[root@cell1 /opt/vmware/vcloud-director/bin]#./cell-management-tool ciphers -d TLS_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
- Execute o comando para verificar a lista de codificações ativadas. Qualquer codificação que estiver ausente da lista será desativada.
root@bos1-vcd-static-211-90 [ /opt/vmware/vcloud-director/bin ]# ./cell-management-tool ciphers -l
A saída retorna uma lista de todas as codificações que agora estão ativadas.Allowed ciphers: * TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 * TLS_RSA_WITH_AES_256_GCM_SHA384 * TLS_RSA_WITH_AES_128_GCM_SHA256 * TLS_RSA_WITH_AES_256_CBC_SHA256 * TLS_ECDH_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
