Um den Satz von SSL-Protokollen zu konfigurieren, die die Zelle während des SSL-Handshake-Vorgangs bietet, verwenden Sie den Befehl ssl-protocols des Zellenverwaltungstools.

Wenn ein Client eine SSL-Verbindung mit einer VMware Cloud Director-Zelle herstellt, bietet die Zelle nur die Protokolle an, die in ihrer Standardliste von zulässigen SSL-Protokollen konfiguriert sind. TLSv1 ist nicht in der Standardliste enthalten, da es bekanntermaßen schwerwiegende Sicherheitslücken aufweist. Weitere Informationen zum Aktivieren von TLS 1.0 oder TLS 1.1 für VMware Cloud Director 10.4 oder höher finden Sie unter KB 88929.

Prozedur

  1. Melden Sie sich direkt oder mithilfe eines SSH-Clients beim Betriebssystem der VMware Cloud Director-Zelle als root an.
  2. Führen Sie den Befehl aus, um die Liste der zulässigen SSL-Protokolle zu verwalten.
    cell-management-tool ssl-protocols options
    Tabelle 1. Optionen des Zellenverwaltungstools und zugehörige Argumente, Unterbefehl ssl-protocols
    Option Argument Beschreibung
    --help (-h) Keines Stellt eine Zusammenfassung der verfügbaren Befehle in dieser Kategorie bereit.
    --all-allowed (-a) Keines Listet alle SSL-Protokolle auf, die VMware Cloud Director unterstützt.
    --disallow (-d) Durch Kommata getrennte Liste mit SSL-Protokollnamen. Konfiguriert die Liste der nicht zulässigen SSL-Protokolle neu, indem die in der Liste angegebenen Protokolle verwendet werden. Bei jeder Ausführung dieser Option müssen Sie die vollständige Liste der SSL-Protokolle angeben, die Sie deaktivieren möchten, da die Ausführung der Option die vorherige Einstellung überschreibt.
    Wichtig: Wenn Sie die Option ohne Werte ausführen, werden alle SSL-Protokolle aktiviert.
    Um alle möglichen SSL-Protokolle anzuzeigen, führen Sie die Option -a aus.
    Wichtig: Sie müssen die Zelle nach der Ausführung von ssl-protocols --disallow neu starten.
    --list (-l) Keines Listet die zulässigen SSL-Protokolle auf, die derzeit verwendet werden.
    --reset (-r) Keines Setzt die Liste der konfigurierten SSL-Protokolle auf die Standardeinstellung zurück.
    Wichtig: Sie müssen die Zelle nach der Ausführung von ssl-protocols --reset neu starten.

Beispiel: Listet zulässige und konfigurierte SSL-Protokolle auf und konfiguriert die Liste der nicht zulässigen SSL-Protokolle neu

Verwenden Sie die Option --all-allowed (-a), um alle SSL-Protokolle aufzulisten, die die Zelle während des SSL-Handshake-Vorgangs bereitstellen darf.

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -a
Product default SSL protocols:

    * TLSv1.2
    * TLSv1.1
    * TLSv1

Diese Liste ist typischerweise eine Übermenge der SSL-Protokolle, für deren Unterstützung die Zelle konfiguriert ist. Um diese SSL-Protokolle aufzulisten, verwenden Sie die Option --list (-l).

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -l
Allowed SSL protocols:

    * TLSv1.2
    * TLSv1.1

Um die Liste der nicht zulässigen SSL-Protokolle neu zu konfigurieren, verwenden Sie die Option --disallow (-d). Für diese Option ist eine durch Komma getrennte Liste der Teilmenge zulässiger von ssl-protocols –a erzeugter Protokolle erforderlich.

In diesem Beispiel wird die Liste der nicht zulässigen SSL-Protokolle aktualisiert, sodass sie TLSv1 enthält. vCenter Server-Versionen vor 5.5 Update 3e erfordern TLSv1.
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -d TLSv1
Sie müssen die Zelle nach Ausführung dieses Befehls neu starten.