使用单元管理工具的 ssl-protocols 命令配置单元在 SSL 握手过程中提供使用的一组 SSL 协议。

客户端与 vCloud Director 单元建立 SSL 连接时,该单元仅支持使用其允许的 SSL 协议列表中配置的协议。若干协议(包括 TLSv1、SSLv3 和 SSLv2Hello)不在默认列表中,因为已知它们存在严重的安全漏洞。

要管理允许的 SSL 协议列表,请使用以下形式的命令行:
cell-management-toolssl-protocolsoptions
表 1. 单元管理工具选项和参数,ssl-protocols 子命令
选项 参数 描述
--help (-h) 提供此类别中可用命令的摘要。
--all-allowed (-a) 列出 vCloud Director 支持的所有 SSL 协议。
--disallow (-d) 以逗号分隔的 SSL 协议名称列表。 将禁用的 SSL 协议列表重新配置为列表中指定的协议。
--list (-l) 列出 vCloud Director 当前配置支持的一组允许的 SSL 协议。
--reset (-r) 将已配置的 SSL 协议列表重置为出厂默认设置
重要事项: 运行 ssl-protocols --disallowssl-protocols reset 后必须重新启动单元

列出允许的和已配置的 SSL 协议

使用 --all-allowed (-a) 选项列出 SSL 握手期间允许单元提供的所有 SSL 协议。

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -a
Product default SSL protocols:

    * TLSv1.2
    * TLSv1.1
    * TLSv1
    * SSLv3
    * SSLv2Hello

此列表通常是单元配置支持的 SSL 协议的超集。要列出这些 SSL 协议,请使用 --list (-l) 选项。

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -l
Allowed SSL protocols:

    * TLSv1.2
    * TLSv1.1

重新配置禁用的 SSL 协议列表

使用 --disallow (-d) 选项重新配置禁用的 SSL 协议列表。此选项需要 ssl-protocols –a 生成的以逗号分隔的允许协议子集列表。

此示例将更新支持的 SSL 协议列表以包含 TLSv1。5.5 Update 3e 之前的 VMware® vCenter™ 版本需要 TLSv1。
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -d SSLv3,SSLv2Hello
运行此命令后必须重新启动单元。