Um den Satz von SSL-Protokollen zu konfigurieren, die die Zelle während des SSL-Handshake-Vorgangs bietet, verwenden Sie den Befehl ssl-protocols des Zellenverwaltungstools.
Wenn ein Client eine SSL-Verbindung mit einer VMware Cloud Director-Zelle herstellt, bietet die Zelle nur die Protokolle an, die in ihrer Standardliste von zulässigen SSL-Protokollen konfiguriert sind. TLSv1 ist nicht in der Standardliste enthalten, da es bekanntermaßen schwerwiegende Sicherheitslücken aufweist.
Prozedur
- Melden Sie sich direkt oder mithilfe eines SSH-Clients beim Betriebssystem der VMware Cloud Director-Zelle als root an.
- Führen Sie den Befehl aus, um die Liste der zulässigen SSL-Protokolle zu verwalten.
cell-management-tool ssl-protocols options
Tabelle 1.
Optionen des Zellenverwaltungstools und zugehörige Argumente, Unterbefehl ssl-protocols
Option |
Argument |
Beschreibung |
--help (-h) |
Keines |
Stellt eine Zusammenfassung der verfügbaren Befehle in dieser Kategorie bereit. |
--all-allowed (-a) |
Keines |
Listet alle SSL-Protokolle auf, die VMware Cloud Director unterstützt. |
--disallow (-d) |
Durch Kommata getrennte Liste mit SSL-Protokollnamen. |
Konfiguriert die Liste der nicht zulässigen SSL-Protokolle neu, indem die in der Liste angegebenen Protokolle verwendet werden. Bei jeder Ausführung dieser Option müssen Sie die vollständige Liste der SSL-Protokolle angeben, die Sie deaktivieren möchten, da die Ausführung der Option die vorherige Einstellung überschreibt.
Wichtig: Wenn Sie die Option ohne Werte ausführen, werden alle SSL-Protokolle aktiviert.
Um alle möglichen SSL-Protokolle anzuzeigen, führen Sie die Option -a aus.
Wichtig: Sie müssen die Zelle nach der Ausführung von
ssl-protocols --disallow neu starten.
|
--list (-l) |
Keines |
Listet die zulässigen SSL-Protokolle auf, die derzeit verwendet werden. |
--reset (-r) |
Keines |
Setzt die Liste der konfigurierten SSL-Protokolle auf die Standardeinstellung zurück.
Wichtig: Sie müssen die Zelle nach der Ausführung von
ssl-protocols --reset neu starten.
|
Beispiel: Listet zulässige und konfigurierte SSL-Protokolle auf und konfiguriert die Liste der nicht zulässigen SSL-Protokolle neu
Verwenden Sie die Option --all-allowed (-a), um alle SSL-Protokolle aufzulisten, die die Zelle während des SSL-Handshake-Vorgangs bereitstellen darf.
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -a
Product default SSL protocols:
* TLSv1.2
* TLSv1.1
* TLSv1
Diese Liste ist typischerweise eine Übermenge der SSL-Protokolle, für deren Unterstützung die Zelle konfiguriert ist. Um diese SSL-Protokolle aufzulisten, verwenden Sie die Option --list (-l).
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -l
Allowed SSL protocols:
* TLSv1.2
* TLSv1.1
Um die Liste der nicht zulässigen SSL-Protokolle neu zu konfigurieren, verwenden Sie die Option --disallow (-d). Für diese Option ist eine durch Komma getrennte Liste der Teilmenge zulässiger von ssl-protocols –a erzeugter Protokolle erforderlich.
In diesem Beispiel wird die Liste der nicht zulässigen SSL-Protokolle aktualisiert, sodass sie TLSv1 enthält.
vCenter Server-Versionen vor 5.5 Update 3e erfordern TLSv1.
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -d TLSv1
Sie müssen die Zelle nach Ausführung dieses Befehls neu starten.