使用单元管理工具的 ciphers 命令配置单元在 SSL 握手过程中提供使用的一组密码套件。

客户端与 vCloud Director 单元建立 SSL 连接时,该单元支持仅使用其默认的允许密码的列表中配置的密码。多个密码不在此列表中,可能的原因是这些密码不够强,无法保护连接,或者已知这些密码会导致 SSL 连接失败。安装或升级 vCloud Director 时,安装或升级脚本会检查该单元的证书。如果任何一个证书使用非允许密码的列表中的密码进行了加密,则脚本会将单元的配置修改为允许使用该密码,并显示警告。虽然现有证书依赖这些密码,但您仍可以继续使用这些证书,您也可以执行以下步骤来替换证书,并重新配置允许密码的列表:
  1. 创建不使用任何禁用密码的新证书。可以使用 cell-management-tool ciphers -a(如 列出所有允许的密码中所示)列出默认配置中允许的所有密码。
  2. 使用 cell-management-tool certificates 命令将单元的现有证书替换为新证书。
  3. 使用 cell-management-tool ciphers 命令将允许密码的列表重新配置为排除新证书未使用的所有密码。排除这些密码可以更快速地与单元建立 SSL 连接,因为握手期间提供的密码数减至最小实际值。
    重要事项: 由于 VMRC 控制台需要使用 AES256-SHA 和 AES128-SHA 密码,因此如果 vCloud Director 客户端使用 VMRC 控制台,则不能禁用这两个密码。
要管理允许的 SSL 密码的列表,请使用以下形式的命令行:
cell-management-toolciphersoptions
表 1. 单元管理工具选项和参数,ciphers 子命令
选项 参数 描述
--help (-h) 提供此类别中可用命令的摘要。
--all-allowed (-a) 列出所有允许的密码。
--compatible-reset (-c) 重置为允许密码的默认列表,同时允许此单元的证书使用密码。
--disallow (-d) 密码名称的逗号分隔列表,如 http://www.openssl.org/docs/apps/ciphers.html 中所发布 禁用指定的逗号分隔列表中的密码。
--list (-l) 列出当前配置的密码。
--reset (-r) 重置为默认的允许密码列表。如果此单元的证书使用禁用的密码,您将无法与该单元建立 SSL 连接,除非安装使用允许的密码的新证书。

列出所有允许的密码

使用 --all-allowed (-a) 选项列出 SSL 握手期间当前允许单元提供的所有密码。

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ciphers –a 
* TLS_DHE_DSS_WITH_AES_256_CBC_SHA
* TLS_DHE_DSS_WITH_AES_128_CBC_SHA
* TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
* TLS_DHE_RSA_WITH_AES_256_CBC_SHA
* TLS_DHE_RSA_WITH_AES_128_CBC_SHA
* TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
* TLS_RSA_WITH_AES_256_CBC_SHA
* TLS_RSA_WITH_AES_128_CBC_SHA
* TLS_RSA_WITH_3DES_EDE_CBC_SHA
* TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
* TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
* TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
* TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
* TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
* TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA
* TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
* TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
* TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA
* SSL_RSA_WITH_3DES_EDE_CBC_SHA
* SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA

禁用两个密码

使用 --disallow (-d) 选项从允许密码列表中移除一个或多个密码。此选项需要至少一个密码名称。可以在逗号分隔列表中提供多个密码名称。可以从 ciphers –a 的输出中获取此列表的名称。本示例移除了上例中列出的两个密码。

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ciphers –d SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA