Use o comando ciphers da ferramenta de gerenciamento de células do VMware Cloud Director para configurar os pacotes de codificação que a célula oferece para usar durante o processo de handshake de SSL.
O comando do ciphers só se aplica ao certificado que o VMware Cloud Director usa para comunicações HTTPS, e não aos certificados que o dispositivo do VMware Cloud Director usa para sua interface de usuário de gerenciamento de dispositivo e API.
Quando um cliente faz uma conexão SSL com uma célula do VMware Cloud Director, a célula oferece para usar apenas as codificações configuradas na sua lista padrão de codificações permitidas. Várias codificações não estão nessa lista, porque não são seguras o suficiente para proteger a conexão ou porque são conhecidas por contribuir com falhas de conexão SSL.
Quando você instala ou atualiza o VMware Cloud Director, o script de instalação ou atualização examina os certificados da célula. Se qualquer um dos certificados for criptografado usando uma codificação que não esteja na lista de codificações permitidas, a instalação ou a atualização falhará. Você pode realizar as seguintes etapas para substituir os certificados e reconfigurar a lista de codificações permitidas:
Crie certificados que não usem codificações não autorizadas. Você pode usar o cell-management-tool ciphers -a, conforme mostrado no exemplo abaixo para listar todas as codificações permitidas na configuração padrão.
Substitua os certificados existentes da célula pelos novos. Consulte Gerenciamento de certificados no dispositivo do VMware Cloud Director.
Use o comando cell-management-tool ciphers para reconfigurar a lista de codificações permitidas e incluir todas as codificações necessárias para uso com os novos certificados.
Importante:Como o console do VMRC requer o uso das codificações AES256-SHA e AES128-SHA, não é possível desautorizar os clientes do VMware Cloud Director se eles usarem o console do VMRC.
Para gerenciar a lista de codificações SSL permitidas, use uma linha de comando com o seguinte formato:
cell-management-tool ciphers options
Opção |
Argumento |
Descrição |
---|---|---|
--help (-h) |
Nenhum |
Fornece um resumo dos comandos disponíveis nessa categoria. |
--all-allowed (-a) |
Nenhum |
Liste todas as cifras com suporte do VMware Cloud Director. |
--compatible-reset (-c) (Obsoleto) |
Nenhum |
Obsoleto. Use a opção --reset para redefinir a lista padrão de codificações permitidas. |
--disallow (-d) |
Lista separada por vírgulas de nomes de cifras. |
Não permitir as cifras na lista separada por vírgulas especificada. Toda vez que você executar essa opção, deverá incluir a lista completa de codificações que deseja desativar, pois a execução da opção substitui a configuração anterior.
Importante:
Executar a opção sem nenhum valor ativa todas as cifras. Para exibir todas as cifras possíveis, execute a opção -a.
Importante:
Você deve reiniciar a célula após a execução de cifras--proibir. |
--list (-l) |
Nenhuma |
Liste o conjunto de cifras permitidas que estão em uso no momento. |
--reset (-r) |
Nenhuma |
Redefinir a lista padrão de codificações permitidas. Se os certificados da célula usarem codificações não autorizadas, você não poderá fazer uma conexão SSL com a célula até instalar novos certificados que usem uma codificação permitida.
Importante:
Você deve reiniciar a célula após a execução de cifras--redefinir. |
Desautorizar duas codificações
O VMware Cloud Director inclui uma lista pré-configurada de codificações ativadas.
Este exemplo mostra como ativar codificações adicionais da lista de codificações permitidas e como desautorizar codificações que você não deseja usar.
Obtenha a lista das cifras que estão ativadas por padrão.
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ciphers -l
A saída do comando retorna a lista de cifras ativadas.
Allowed ciphers: * TLS_AES_256_GCM_SHA384 * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
Obtenha uma lista de todas as cifras que a célula pode oferecer durante um handshake de SSL.
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ciphers -a
A saída do comando retorna a lista de cifras permitidas.
Product default ciphers: * TLS_AES_256_GCM_SHA384 * TLS_AES_128_GCM_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_RSA_WITH_AES_256_GCM_SHA384 * TLS_RSA_WITH_AES_128_GCM_SHA256 * TLS_RSA_WITH_AES_256_CBC_SHA256 * TLS_ECDH_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDH_RSA_WITH_AES_128_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA
Especifique as codificações a serem desativadas.
Se você executar o comando e não desativar explicitamente uma codificação, ela será ativada.
[root@cell1 /opt/vmware/vcloud-director/bin]#./cell-management-tool ciphers -d TLS_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
Execute o comando para verificar a lista de codificações ativadas. Qualquer codificação que estiver ausente da lista será desativada.
root@bos1-vcd-static-211-90 [ /opt/vmware/vcloud-director/bin ]# ./cell-management-tool ciphers -l
A saída retorna uma lista de todas as codificações que agora estão ativadas.
Allowed ciphers: * TLS_AES_256_GCM_SHA384 * TLS_AES_128_GCM_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_RSA_WITH_AES_256_GCM_SHA384 * TLS_RSA_WITH_AES_128_GCM_SHA256 * TLS_RSA_WITH_AES_256_CBC_SHA256 * TLS_ECDH_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA