Mit dem Befehl ciphers im Zellenverwaltungstool können Sie den Satz von Verschlüsselungsverfahren konfigurieren, den die Zelle während des SSL-Handshake-Vorgangs bereitstellt.
Wenn ein Client eine SSL-Verbindung mit einer VMware Cloud Director-Zelle herstellt, bietet die Zelle nur diejenigen Verschlüsselungen an, die auf ihre Standardliste von zulässigen Verschlüsselungen konfiguriert sind. Mehrere Verschlüsselungen befinden sich nicht in dieser Liste, da sie entweder nicht stark genug sind, um die Verbindung zu sichern, oder zu SSL-Verbindungsfehlern beitragen.
- Erstellen Sie Zertifikate, die keine der unzulässigen Verschlüsselungen verwenden. Sie können cell-management-tool ciphers -a wie im nachstehenden Beispiel beschrieben verwenden, um alle Verschlüsselungen aufzulisten, die in der Standardkonfiguration zulässig sind.
- Mit dem Befehl cell-management-tool certificates können Sie die vorhandenen Zertifikate der Zelle durch die neuen Zertifikate ersetzen.
- Mit dem Befehl cell-management-tool ciphers können Sie die Liste der zulässigen Verschlüsselungen neu konfigurieren und alle erforderlichen Verschlüsselungen einschließen, die in Verbindung mit den neuen Zertifikaten verwendet werden sollen.
Wichtig: Da die VMRC-Konsole die Verwendung der AES256-SHA- und AES128-SHA-Verschlüsselungen erfordert, können Sie sie nicht verbieten, wenn Ihre VMware Cloud Director-Clients die VMRC-Konsole verwenden.
cell-management-tool ciphers options
Option | Argument | Beschreibung |
---|---|---|
--help (-h) | Keines | Stellt eine Zusammenfassung der verfügbaren Befehle in dieser Kategorie bereit. |
--all-allowed (-a) | Keines | Listet alle Verschlüsselungen auf, die VMware Cloud Director unterstützt. |
--compatible-reset (-c) (veraltet) | Keines | Veraltet. Verwenden Sie die Option --reset, um die Liste der zulässigen Verschlüsselungen auf die Standardliste zurückzusetzen. |
--disallow (-d) | Durch Kommata getrennte Liste mit Verschlüsselungsnamen. | Untersagt die Verwendung der Verschlüsselungen in der angegebenen kommagetrennten Liste. Bei jeder Ausführung dieser Option müssen Sie die vollständige Liste der Verschlüsselungen angeben, die Sie deaktivieren möchten, da die Ausführung der Option die vorherige Einstellung überschreibt.
Wichtig: Wenn Sie die Option ohne Werte ausführen, werden alle Verschlüsselungen aktiviert.
Um alle möglichen Verschlüsselungen anzuzeigen, führen Sie die Option -a aus.
Wichtig: Sie müssen die Zelle nach der Ausführung von
ciphers --disallow neu starten.
|
--list (-l) | Keines | Listet die zulässigen Verschlüsselungen auf, die derzeit verwendet werden. |
--reset (-r) | Keines | Setzt die Liste der zulässigen Verschlüsselungen auf die Standardliste zurück. Wenn die Zertifikate dieser Zelle unzulässige Verschlüsselungen verwenden, können Sie erst dann eine SSL-Verbindung mit der Zelle herstellen, wenn Sie die neuen Zertifikate installiert haben, die eine zulässige Verschlüsselung verwenden.
Wichtig: Sie müssen die Zelle nach der Ausführung von
ciphers --reset neu starten.
|
Untersagen der Verwendung von zwei Verschlüsselungen
VMware Cloud Director enthält eine vorkonfigurierte Liste aktivierter Verschlüsselungen.
In diesem Beispiel wird gezeigt, wie Sie zusätzliche Verschlüsselungen aus der Liste der zulässigen Verschlüsselungen aktivieren und die Zulassung von Verschlüsselungen, die Sie nicht verwenden möchten, aufheben können.
- Rufen Sie die Liste der standardmäßig aktivierten Verschlüsselungen ab.
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ciphers -l
Die Ausgabe des Befehls gibt die Liste der aktivierten Verschlüsselungen zurück.Allowed ciphers: * TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- Rufen Sie eine Liste aller Verschlüsselungen ab, die die Zelle während eines SSL-Handshakes anbieten kann.
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ciphers -a
Die Ausgabe des Befehls gibt die Liste der zulässigen Verschlüsselungen zurück.# ./cell-management-tool ciphers -a Product default ciphers: * TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 * TLS_RSA_WITH_AES_256_GCM_SHA384 * TLS_RSA_WITH_AES_128_GCM_SHA256 * TLS_RSA_WITH_AES_256_CBC_SHA256 * TLS_ECDH_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDH_RSA_WITH_AES_128_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA
- Geben Sie an, welche Verschlüsselungen deaktiviert werden sollen.
Wenn Sie den Befehl ausführen und eine Verschlüsselung nicht explizit deaktivieren, wird sie aktiviert.
[root@cell1 /opt/vmware/vcloud-director/bin]#./cell-management-tool ciphers -d TLS_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
- Führen Sie den Befehl aus, um die Liste der aktivierten Verschlüsselungen zu überprüfen. Jede Verschlüsselung, die in der Liste nicht vorhanden ist, wird deaktiviert.
root@bos1-vcd-static-211-90 [ /opt/vmware/vcloud-director/bin ]# ./cell-management-tool ciphers -l
Die Ausgabe gibt eine Liste aller derzeit aktivierten Verschlüsselungen zurück.Allowed ciphers: * TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 * TLS_RSA_WITH_AES_256_GCM_SHA384 * TLS_RSA_WITH_AES_128_GCM_SHA256 * TLS_RSA_WITH_AES_256_CBC_SHA256 * TLS_ECDH_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA