要配置单元在 SSL 握手过程中提供的一组 SSL 协议,请使用单元管理工具的 ssl-protocols 命令。

客户端与 VMware Cloud Director 单元建立 SSL 连接时,该单元仅支持使用其允许的 SSL 协议列表中配置的协议。TLSv1 不在默认列表中,因为已知它存在严重的安全漏洞。

过程

  1. root 身份直接或通过 SSH 客户端登录到 VMware Cloud Director 单元的操作系统。
  2. 运行 命令以管理允许的 SSL 协议列表。 
    cell-management-tool ssl-protocols options
    表 1. 单元管理工具选项和参数,ssl-protocols 子命令
    选项 参数 描述
    --help (-h) 提供此类别中可用命令的摘要。
    --all-allowed (-a) 列出 VMware Cloud Director 支持的所有 SSL 协议。
    --disallow (-d) 以逗号分隔的 SSL 协议名称列表。 将禁用的 SSL 协议列表重新配置为列表中指定的协议。每次运行此选项时,都必须包含要停用的 SSL 协议的完整列表,因为运行此选项会覆盖以前的设置。
    重要说明: 如果运行此选项时不带任何值,将激活所有 SSL 协议。
    要查看所有可能的 SSL 协议,请运行 -a 选项。
    重要说明: 运行 ssl-protocols --disallow 后,必须重新启动单元。
    --list (-l) 列出当前正在使用的允许的 SSL 协议集。
    --reset (-r) 将已配置的 SSL 协议列表重置为出厂默认设置。
    重要说明: 运行 ssl-protocols --reset 后,必须重新启动单元。

示例: 列出允许的已配置 SSL 协议并重新配置禁用的 SSL 协议列表

使用 --all-allowed (-a) 选项列出 SSL 握手期间允许单元提供的所有 SSL 协议。 

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -a
Product default SSL protocols:

    * TLSv1.2
    * TLSv1.1
    * TLSv1

此列表通常是单元配置支持的 SSL 协议的超集。要列出这些 SSL 协议,请使用 --list (-l) 选项。 

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -l
Allowed SSL protocols:

    * TLSv1.2
    * TLSv1.1

要重新配置禁用的 SSL 协议列表,请使用 --disallow (-d) 选项。此选项需要 ssl-protocols –a 生成的以逗号分隔的允许协议子集列表。

此示例将更新禁用的 SSL 协议列表,将 TLSv1 包含在内。5.5 Update 3e 之前的 vCenter Server 版本需要 TLSv1。 
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -d TLSv1
运行此命令后,必须重新启动单元。