Um den Satz von SSL-Protokollen zu konfigurieren, die die Zelle während des SSL-Handshake-Vorgangs bietet, verwenden Sie den Befehl ssl-protocols des Zellenverwaltungstools.

Wenn ein Client eine SSL-Verbindung mit einer VMware Cloud Director-Zelle herstellt, bietet die Zelle nur die Protokolle an, die in ihrer Standardliste von zulässigen SSL-Protokollen konfiguriert sind. TLSv1 ist nicht in der Standardliste enthalten, da es bekanntermaßen schwerwiegende Sicherheitslücken aufweist.

Prozedur

  1. Melden Sie sich direkt oder mithilfe eines SSH-Clients beim Betriebssystem der VMware Cloud Director-Zelle als root an.
  2. Führen Sie den Befehl aus, um die Liste der zulässigen SSL-Protokolle zu verwalten.
    cell-management-tool ssl-protocols options
    Tabelle 1. Optionen des Zellenverwaltungstools und zugehörige Argumente, Unterbefehl ssl-protocols
    Option Argument Beschreibung
    --help (-h) Keines Stellt eine Zusammenfassung der verfügbaren Befehle in dieser Kategorie bereit.
    --all-allowed (-a) Keines Listet alle SSL-Protokolle auf, die VMware Cloud Director unterstützt.
    --disallow (-d) Durch Kommata getrennte Liste mit SSL-Protokollnamen. Konfiguriert die Liste der nicht zulässigen SSL-Protokolle neu, indem die in der Liste angegebenen Protokolle verwendet werden. Bei jeder Ausführung dieser Option müssen Sie die vollständige Liste der SSL-Protokolle angeben, die Sie deaktivieren möchten, da die Ausführung der Option die vorherige Einstellung überschreibt.
    Wichtig: Wenn Sie die Option ohne Werte ausführen, werden alle SSL-Protokolle aktiviert.
    Um alle möglichen SSL-Protokolle anzuzeigen, führen Sie die Option -a aus.
    Wichtig: Sie müssen die Zelle nach der Ausführung von ssl-protocols --disallow neu starten.
    --list (-l) Keines Listet die zulässigen SSL-Protokolle auf, die derzeit verwendet werden.
    --reset (-r) Keines Setzt die Liste der konfigurierten SSL-Protokolle auf die Standardeinstellung zurück.
    Wichtig: Sie müssen die Zelle nach der Ausführung von ssl-protocols --reset neu starten.

Beispiel: Listet zulässige und konfigurierte SSL-Protokolle auf und konfiguriert die Liste der nicht zulässigen SSL-Protokolle neu

Verwenden Sie die Option --all-allowed (-a), um alle SSL-Protokolle aufzulisten, die die Zelle während des SSL-Handshake-Vorgangs bereitstellen darf.

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -a
Product default SSL protocols:

    * TLSv1.2
    * TLSv1.1
    * TLSv1

Diese Liste ist typischerweise eine Übermenge der SSL-Protokolle, für deren Unterstützung die Zelle konfiguriert ist. Um diese SSL-Protokolle aufzulisten, verwenden Sie die Option --list (-l).

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -l
Allowed SSL protocols:

    * TLSv1.2
    * TLSv1.1

Um die Liste der nicht zulässigen SSL-Protokolle neu zu konfigurieren, verwenden Sie die Option --disallow (-d). Für diese Option ist eine durch Komma getrennte Liste der Teilmenge zulässiger von ssl-protocols –a erzeugter Protokolle erforderlich.

In diesem Beispiel wird die Liste der nicht zulässigen SSL-Protokolle aktualisiert, sodass sie TLSv1 enthält. vCenter Server-Versionen vor 5.5 Update 3e erfordern TLSv1.
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -d TLSv1
Sie müssen die Zelle nach Ausführung dieses Befehls neu starten.