Use o comando ciphers da ferramenta de gerenciamento de célula para configurar os pacotes de codificação que a célula oferece para usar durante o processo de handshake de SSL.
O comando do ciphers só se aplica ao certificado que o VMware Cloud Director usa para comunicações HTTPS, e não aos certificados que o dispositivo do VMware Cloud Director usa para sua interface de usuário de gerenciamento de dispositivo e API.
Quando um cliente faz uma conexão SSL com uma célula do VMware Cloud Director, a célula oferece para usar apenas as codificações configuradas na sua lista padrão de codificações permitidas. Várias codificações não estão nessa lista, porque não são seguras o suficiente para proteger a conexão ou porque são conhecidas por contribuir com falhas de conexão SSL.
Quando você instala ou atualiza o VMware Cloud Director, o script de instalação ou atualização examina os certificados da célula. Se qualquer um dos certificados for criptografado usando uma codificação que não esteja na lista de codificações permitidas, a instalação ou a atualização falhará. Você pode realizar as seguintes etapas para substituir os certificados e reconfigurar a lista de codificações permitidas:
Crie certificados que não usem codificações não autorizadas. Você pode usar o cell-management-tool ciphers -a, conforme mostrado no exemplo abaixo para listar todas as codificações permitidas na configuração padrão.
Use o comando cell-management-tool certificates para substituir os certificados existentes da célula pelos novos.
Use o comando cell-management-tool ciphers para reconfigurar a lista de codificações permitidas e incluir todas as codificações necessárias para uso com os novos certificados.
Importante:Como o console do VMRC requer o uso das codificações AES256-SHA e AES128-SHA, não é possível desautorizar os clientes do VMware Cloud Director se eles usarem o console do VMRC.
Para gerenciar a lista de codificações SSL permitidas, use uma linha de comando com o seguinte formato:
cell-management-toolciphersoptions
Opção |
Argumento |
Descrição |
|---|---|---|
--help (-h) |
Nenhum |
Fornece um resumo dos comandos disponíveis nessa categoria. |
--all-allowed (-a) |
Nenhum |
Liste todas as cifras com suporte do VMware Cloud Director. |
--compatible-reset (-c) (Obsoleto) |
Nenhum |
Obsoleto. Use a opção --reset para redefinir a lista padrão de codificações permitidas. |
--disallow (-d) |
Lista separada por vírgulas de nomes de cifras. |
Não permitir as cifras na lista separada por vírgulas especificada. Toda vez que você executar essa opção, deverá incluir a lista completa de codificações que deseja desativar, pois a execução da opção substitui a configuração anterior.
Importante:
Executar a opção sem nenhum valor ativa todas as cifras. Para exibir todas as cifras possíveis, execute a opção -a.
Importante:
Você deve reiniciar a célula após a execução de cifras--proibir. |
--list (-l) |
Nenhuma |
Liste o conjunto de cifras permitidas que estão em uso no momento. |
--reset (-r) |
Nenhuma |
Redefinir a lista padrão de codificações permitidas. Se os certificados da célula usarem codificações não autorizadas, você não poderá fazer uma conexão SSL com a célula até instalar novos certificados que usem uma codificação permitida.
Importante:
Você deve reiniciar a célula após a execução de cifras--redefinir. |
Desautorizar duas codificações
O VMware Cloud Director inclui uma lista pré-configurada de codificações ativadas.
Este exemplo mostra como ativar codificações adicionais da lista de codificações permitidas e como desautorizar codificações que você não deseja usar.
Obtenha a lista das cifras que estão ativadas por padrão.
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ciphers -l
A saída do comando retorna a lista de cifras ativadas.
Allowed ciphers: * TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
Obtenha uma lista de todas as cifras que a célula pode oferecer durante um handshake de SSL.
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ciphers -a
A saída do comando retorna a lista de cifras permitidas.
# ./cell-management-tool ciphers -a Product default ciphers: * TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 * TLS_RSA_WITH_AES_256_GCM_SHA384 * TLS_RSA_WITH_AES_128_GCM_SHA256 * TLS_RSA_WITH_AES_256_CBC_SHA256 * TLS_ECDH_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDH_RSA_WITH_AES_128_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA
Especifique as codificações a serem desativadas.
Se você executar o comando e não desativar explicitamente uma codificação, ela será ativada.
[root@cell1 /opt/vmware/vcloud-director/bin]#./cell-management-tool ciphers -d TLS_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
Execute o comando para verificar a lista de codificações ativadas. Qualquer codificação que estiver ausente da lista será desativada.
root@bos1-vcd-static-211-90 [ /opt/vmware/vcloud-director/bin ]# ./cell-management-tool ciphers -l
A saída retorna uma lista de todas as codificações que agora estão ativadas.
Allowed ciphers: * TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 * TLS_RSA_WITH_AES_256_GCM_SHA384 * TLS_RSA_WITH_AES_128_GCM_SHA256 * TLS_RSA_WITH_AES_256_CBC_SHA256 * TLS_ECDH_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
