下面介绍了 CDS 客户端的加密灵活性配置。

当前,DaaS Agent 使用 gSoap 库所支持的默认密码和 SSL 协议。下面是用于自定义密码和 SSL 协议的注册表项。

请注意以下事项:
  • 租户应支持在客户端指定的 SSL 协议/设置;否则,客户端将无法与租户进行通信。
  • 代理是一个 32 位应用程序。在 64 位计算机上安装代理时,注册表路径会有所变化。有关更多信息,请参阅 Microsoft 文档。

ClientSecureProtocols

  • 注册表项路径:HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware DaaS Agent\ClientSecureProtocols
  • 类型:字符串
  • 值格式:由以 | 分隔的以下值组成
    • SOAP_TLSv1

      在注册表中添加此值将使代理使用以下某个协议与租户进行通信:TLSv1.0、TLSv1.1 或 TLSv1.2。

    • SOAP_SSLv3_TLSv1

      在注册表中添加此值将使代理使用 SSLV3 或 TLSv1(v1.0、v1.1 或 v1.2)协议与租户进行通信。

    • SOAP_SSLv3

      在注册表中添加此值将使代理仅使用 SSLV3 协议与租户进行通信。

    • SOAP_TLSv1_0

      在注册表中添加此值将使代理仅使用 TLS v1.0 协议与租户进行通信。

    • SOAP_TLSv1_1

      在注册表中添加此值将使代理仅使用 TLS v1.1 协议与租户进行通信。

    • SOAP_TLSv1_2

      在注册表中添加此值将使代理仅使用 TLS v1.2 协议与租户进行通信。

  • 默认值:SOAP_TLSv1_1|SOAP_TLSv1_2

    表示代理将使用 TLSV1.1 或 TLSV1.2 协议与租户进行通信。

ClientCipherSuites

  • 注册表项路径:HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware DaaS Agent\ClientCipherSuites
  • 类型:字符串
  • 值的格式:请参阅 OpenSSL 文档页面中的 openssl-ciphers
  • 默认值:!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES

ClientAuthenticationSettings

  • 注册表项路径:HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware DaaS Agent\ClientAuthenticationSettings
  • 类型:字符串
  • 值格式:由以 | 分隔的以下值组成
    • SOAP_SSL_REQUIRE_SERVER_AUTHENTICATION

      将此注册表项添加到值中会要求服务器对客户端进行身份验证。

      注: 仅测试了此配置。
    • SOAP_SSL_SKIP_HOST_CHECK

      将此注册表项添加到值中会禁止对证书中的主机公用名进行检查。

    • SOAP_SSL_ALLOW_EXPIRED_CERTIFICATE

      将此注册表项添加到值中会禁止对证书过期日期进行检查,并忽略 CRL(证书吊销列表)检查。

    • SOAP_SSL_NO_DEFAULT_CA_PATH

      将此注册表项添加到值中会禁用 default_verify_paths (OpenSSL)。

    • SOAP_SSL_RSA

      将此注册表项添加到值中会使代理使用 RSA 对租户进行身份验证。

  • 默认值:SOAP_SSL_REQUIRE_SERVER_AUTHENTICATION

CipherSuites

  • 注册表项路径:HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware VDM\Agent\Configuration\SSL\CipherSuites
  • 类型:字符串
  • 值格式:指定以冒号分隔的多个密码。

ProtocolsNotToBeDisabled

  • 注册表项路径:HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware VDM\Agent\Configuration\SSL\ ProtocolsNotToBeDisabled
  • 类型:DWORD(32 位)
  • 值格式:
    • 要启用 TLSv1 及更高版本,请指定 04000000 作为十六进制值。
    • 要启用 TLSv1_1 及更高版本,请指定 10000000 作为十六进制值。
    • 要启用 TLSv1_2 及更高版本,请将 08000000 指定为十六进制值(这是当前默认值)。