要配置 VMware Cloud Director 单元在 SSL 握手过程中提供的一组 SSL 协议,请使用单元管理工具的 ssl-protocols 命令。
客户端与 VMware Cloud Director 单元建立 SSL 连接时,该单元仅支持使用其允许的 SSL 协议列表中配置的协议。有关为 VMware Cloud Director 10.5 或更高版本启用 TLS 1.0 或 TLS 1.1 的详细信息,请参见知识库文章 88929。
过程
示例: 列出允许的已配置 SSL 协议并重新配置禁用的 SSL 协议列表
使用 --all-allowed (-a) 选项列出 SSL 握手期间允许单元提供的所有 SSL 协议。
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -a Product default SSL protocols: * TLSv1.3 * TLSv1.2 * TLSv1.1 * TLSv1
此列表通常是单元配置支持的 SSL 协议的超集。要列出这些 SSL 协议,请使用 --list (-l) 选项。
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -l Allowed SSL protocols: * TLSv1.3 * TLSv1.2
要重新配置禁用的 SSL 协议列表,请使用 --disallow (-d) 选项。此选项需要 ssl-protocols –a 生成的以逗号分隔的允许协议子集列表。
此示例更新了不允许的 SSL 协议列表,增加了 TLSv1、TLSv1.1 和 TLSv1.3。
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -d TLSv1,TLSv1.1,TLSv1.3运行此命令后,必须重新启动单元。
运行此命令以检查禁用的 SSL 协议列表时,
VMware Cloud Director 仅返回 TLSv1.2。
# ./cell-management-tool ssl-protocols -l Allowed SSL protocols: * TLSv1.2