默认情况下,VMware Integrated OpenStack 服务支持 TLS 1.2 和密码套件 ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256。要自定义 TLS 密码套件,请使用 Kubernetes 命令行实用程序。

注: 如果选择配置 TLS 以外的安全协议,您需要承担潜在的安全风险。

以下过程说明如何将适用于 TLS 1.1 的密码套件添加到 VMware Integrated OpenStack Horizon 服务。

过程

  1. root 用户身份登录到 Integrated OpenStack Manager 
    ssh root@mgmt-server-ip
  2. 键入命令以配置 Horizon 服务。 
    osctl edit Horizon
  3. 要使用 TLS 1.1 并添加密码套件 ECDHE-RSA-AES256-SHA384,请指定以下配置。 
    spec:
  conf:
    ssl:
      protocol: TLSv1.1
      ciphersuite: ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384
    horizon:
      local_settings:
        config:
          openstack_neutron_network:
  4. 保存配置。
  5. 在 Horizon 服务重新启动后,验证协议和密码套件设置。
    1. 键入以下命令。 
      osctl exec -it <pod-name> bash
    2. 打开配置文件 /etc/apache2/mods-enabled/ssl.conf
    3. 要验证设置,请查找关键字 SSLProtocolSSLCipherSuite,然后检查它们的值。