DaaS 代理

下面介绍了 CDS 客户端的加密灵活性配置。

当前，DaaS 代理使用 gSoap 库所支持的默认密码和 SSL 协议。下面是用于自定义密码和 SSL 协议的注册表项。

请注意以下事项：

租户应支持在客户端指定的 SSL 协议/设置；否则，客户端将无法与租户进行通信。
代理是一个 32 位应用程序。在 64 位计算机上安装代理后，注册表路径会发生更改，如 https://msdn.microsoft.com/zh-cn/library/windows/desktop/ms724072(v=vs.85).aspx 中所述。

ClientSecureProtocols

注册表项路径：HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware DaaS Agent\ClientSecureProtocols
类型：字符串
值格式：由以 | 分隔的以下值组成
- SOAP_TLSv1
  在注册表中添加此值将使代理使用以下某个协议与租户进行通信：TLSv1.0、TLSv1.1 或 TLSv1.2。
- SOAP_SSLv3_TLSv1
  在注册表中添加此值将使代理使用 SSLV3 或 TLSv1（v1.0、v1.1 或 v1.2）协议与租户进行通信。
- SOAP_SSLv3
  在注册表中添加此值将使代理仅使用 SSLV3 协议与租户进行通信。
- SOAP_TLSv1_0
  在注册表中添加此值将使代理仅使用 TLS v1.0 协议与租户进行通信。
- SOAP_TLSv1_1
  在注册表中添加此值将使代理仅使用 TLS v1.1 协议与租户进行通信。
- SOAP_TLSv1_2
  在注册表中添加此值将使代理仅使用 TLS v1.2 协议与租户进行通信。
默认值：SOAP_TLSv1_1|SOAP_TLSv1_2
表示代理将使用 TLSV1.1 或 TLSV1.2 协议与租户进行通信。

注册表项路径：HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware DaaS Agent\ClientCipherSuites
类型：字符串
值格式：请查阅 https://www.openssl.org/docs/manmaster/ssl/ciphers.html 或 http://openssl.cs.utah.edu/docs/apps/ciphers.html
默认值：!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES

注册表项路径：HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware DaaS Agent\ClientAuthenticationSettings
类型：字符串
值格式：由以 | 分隔的以下值组成
- SOAP_SSL_REQUIRE_SERVER_AUTHENTICATION
  将此注册表项添加到值中会要求服务器对客户端进行身份验证。
  
  注：仅测试了此配置。
- SOAP_SSL_SKIP_HOST_CHECK
  将此注册表项添加到值中会禁止对证书中的主机公用名进行检查。
- SOAP_SSL_ALLOW_EXPIRED_CERTIFICATE
  将此注册表项添加到值中会禁止对证书过期日期进行检查，并忽略 CRL（证书吊销列表）检查。
- SOAP_SSL_NO_DEFAULT_CA_PATH
  将此注册表项添加到值中会禁用 default_verify_paths (OpenSSL)。
- SOAP_SSL_RSA
  将此注册表项添加到值中会使代理使用 RSA 对租户进行身份验证。
默认值：SOAP_SSL_REQUIRE_SERVER_AUTHENTICATION

注册表项路径：HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware VDM\Agent\Configuration\SSL\CipherSuites
类型：字符串
值格式：指定以冒号分隔的多个密码。

注册表项路径：HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware VDM\Agent\Configuration\SSL\ ProtocolsNotToBeDisabled
类型：DWORD（32 位）
值格式：
- 要启用 TLSv1 及更高版本，请指定 04000000 作为十六进制值。
- 要启用 TLSv1_1 及更高版本，请指定 10000000 作为十六进制值。
- 要启用 TLSv1_2 及更高版本，请将 08000000 指定为十六进制值（这是当前默认值）。