A configuração de crypto-agility para Cliente CDS está descrita abaixo.
Atualmente, o DaaS Agent usa protocolos padrão de criptografias e SSL compatíveis com a biblioteca gSoap. Abaixo estão as chaves do registro para personalizar os protocolos de criptografia e SSL.
- O tenant deve ter suporte para Protocolos/Configurações SSL especificados no lado do cliente; caso contrário, o cliente não poderá se comunicar com o Tenant.
- O Agente é um aplicativo de 32 bits. O caminho do registro é alterado quando o agente é instalado em uma máquina de 64 bits, conforme descrito em https://msdn.microsoft.com/pt-br/library/windows/desktop/ms724072(v=vs.85).aspx
ClientSecureProtocols
- Caminho da Chave: HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware DaaS Agent\ClientSecureProtocols
- Tipo: Cadeia
- Formato do Valor: combinação dos valores a seguir separados por |
- SOAP_TLSv1
Adicionar esse valor ao registro fará com que o agente use um dos seguintes protocolos para se comunicar com o tenant: TLSv1.0, TLSv1.1 ou TLSv1.2.
- SOAP_SSLv3_TLSv1
Adicionar esse valor ao registro fará com que o agente use o protocolo SSLV3 ou TLSv1 (v1.0, v1.1 ou v1.2) para se comunicar com o tenant.
- SOAP_SSLv3
Adicionar esse valor ao registro fará com que o agente use apenas o protocolo SSLV3 para se comunicar com o tenant.
- SOAP_TLSv1_0
Adicionar esse valor ao registro fará com que o agente use apenas o protocolo TLS v1.0 para se comunicar com o tenant.
- SOAP_TLSv1_1
Adicionar esse valor ao registro fará com que o agente use apenas o protocolo TLS v1.1 para se comunicar com o tenant.
- SOAP_TLSv1_2
Adicionar esse valor ao registro fará com que o agente use apenas o protocolo TLS v1.2 para se comunicar com o tenant.
- SOAP_TLSv1
- Valor Padrão: SOAP_TLSv1_1|SOAP_TLSv1_2
Indica que o agente usará o protocolo TLSV1.1 ou TLSV1.2 para se comunicar com o Tenant.
ClientCipherSuites
- Caminho da Chave: HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware DaaS Agent\ClientCipherSuites
- Tipo: Cadeia
- Formato do Valor: verifique https://www.openssl.org/docs/manmaster/ssl/ciphers.html ou http://openssl.cs.utah.edu/docs/apps/ciphers.html
- Valor Padrão: !aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES
ClientAuthenticationSettings
- Caminho da Chave: HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware DaaS Agent\ClientAuthenticationSettings
- Tipo: Cadeia
- Formato do Valor: combinação dos valores a seguir separados por |
- SOAP_SSL_REQUIRE_SERVER_AUTHENTICATION
Adicionar essa chave ao valor requer que os servidores se autentiquem no cliente.
Observação: Somente essa configuração foi testada. - SOAP_SSL_SKIP_HOST_CHECK
Adicionar essa chave ao valor desativa a verificação do nome comum do host no certificado.
- SOAP_SSL_ALLOW_EXPIRED_CERTIFICATE
Adicionar essa chave ao valor desativa a verificação da data de expiração do certificado e omite as verificações da CRL (Listas de Certificados Revogados).
- SOAP_SSL_NO_DEFAULT_CA_PATH
Adicionar essa chave ao valor desativa default_verify_paths (OpenSSL).
- SOAP_SSL_RSA
Adicionar essa chave ao valor faz com que o agente use RSA para se autenticar no tenant.
- SOAP_SSL_REQUIRE_SERVER_AUTHENTICATION
- Valor Padrão: SOAP_SSL_REQUIRE_SERVER_AUTHENTICATION
CipherSuites
- Caminho da Chave: HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware VDM\Agent\Configuration\SSL\CipherSuites
- Tipo: Cadeia
- Formato do Valor: especifique várias criptografias com delimitadores de dois pontos.
ProtocolsNotToBeDisabled
- Caminho da Chave: HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware VDM\Agent\Configuration\SSL\ ProtocolsNotToBeDisabled
- Tipo: DWORD (32 bits)
- Formato do Valor:
- Para ativar o TLSv1 e acima, especifique 04000000 como o valor hex.
- Para ativar o TLSv1_1 e acima, especifique 10000000 como o valor hex.
- Para ativar o TLSv1_2 e acima, especifique 08000000 como o valor hex (este é o padrão atual).
