下面介绍了 CDS 客户端的加密灵活性配置。
当前,DaaS Agent 使用 gSoap 库所支持的默认密码和 SSL 协议。下面是用于自定义密码和 SSL 协议的注册表项。
请注意以下事项:
- 租户应支持在客户端指定的 SSL 协议/设置;否则,客户端将无法与租户进行通信。
- 代理是一个 32 位应用程序。在 64 位计算机上安装代理时,注册表路径会有所变化。有关更多信息,请参阅 Microsoft 文档。
ClientSecureProtocols
- 注册表项路径:HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware DaaS Agent\ClientSecureProtocols
- 类型:字符串
- 值格式:由以 | 分隔的以下值组成
- SOAP_TLSv1
在注册表中添加此值将使代理使用以下某个协议与租户进行通信:TLSv1.0、TLSv1.1 或 TLSv1.2。
- SOAP_SSLv3_TLSv1
在注册表中添加此值将使代理使用 SSLV3 或 TLSv1(v1.0、v1.1 或 v1.2)协议与租户进行通信。
- SOAP_SSLv3
在注册表中添加此值将使代理仅使用 SSLV3 协议与租户进行通信。
- SOAP_TLSv1_0
在注册表中添加此值将使代理仅使用 TLS v1.0 协议与租户进行通信。
- SOAP_TLSv1_1
在注册表中添加此值将使代理仅使用 TLS v1.1 协议与租户进行通信。
- SOAP_TLSv1_2
在注册表中添加此值将使代理仅使用 TLS v1.2 协议与租户进行通信。
- SOAP_TLSv1
- 默认值:SOAP_TLSv1_1|SOAP_TLSv1_2
表示代理将使用 TLSV1.1 或 TLSV1.2 协议与租户进行通信。
ClientCipherSuites
- 注册表项路径:HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware DaaS Agent\ClientCipherSuites
- 类型:字符串
- 值的格式:请参阅 OpenSSL 文档页面中的 openssl-ciphers。
- 默认值:!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES
ClientAuthenticationSettings
- 注册表项路径:HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware DaaS Agent\ClientAuthenticationSettings
- 类型:字符串
- 值格式:由以 | 分隔的以下值组成
- SOAP_SSL_REQUIRE_SERVER_AUTHENTICATION
将此注册表项添加到值中会要求服务器对客户端进行身份验证。
注: 仅测试了此配置。 - SOAP_SSL_SKIP_HOST_CHECK
将此注册表项添加到值中会禁止对证书中的主机公用名进行检查。
- SOAP_SSL_ALLOW_EXPIRED_CERTIFICATE
将此注册表项添加到值中会禁止对证书过期日期进行检查,并忽略 CRL(证书吊销列表)检查。
- SOAP_SSL_NO_DEFAULT_CA_PATH
将此注册表项添加到值中会禁用 default_verify_paths (OpenSSL)。
- SOAP_SSL_RSA
将此注册表项添加到值中会使代理使用 RSA 对租户进行身份验证。
- SOAP_SSL_REQUIRE_SERVER_AUTHENTICATION
- 默认值:SOAP_SSL_REQUIRE_SERVER_AUTHENTICATION
CipherSuites
- 注册表项路径:HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware VDM\Agent\Configuration\SSL\CipherSuites
- 类型:字符串
- 值格式:指定以冒号分隔的多个密码。
ProtocolsNotToBeDisabled
- 注册表项路径:HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware VDM\Agent\Configuration\SSL\ ProtocolsNotToBeDisabled
- 类型:DWORD(32 位)
- 值格式:
- 要启用 TLSv1 及更高版本,请指定 04000000 作为十六进制值。
- 要启用 TLSv1_1 及更高版本,请指定 10000000 作为十六进制值。
- 要启用 TLSv1_2 及更高版本,请将 08000000 指定为十六进制值(这是当前默认值)。