Mit dem Befehl ciphers im VMware Cloud Director-Zellenverwaltungstool können Sie den Satz an Verschlüsselungsverfahren konfigurieren, den die Zelle während des SSL-Handshake-Vorgangs bereitstellt.

Hinweis:

Der Befehl ciphers gilt nur für das Zertifikat, das VMware Cloud Director für die HTTPS-Kommunikation verwendet, und nicht für die Zertifikate, die die VMware Cloud Director-Appliance für ihre Appliance-Verwaltungsbenutzeroberfläche und -API verwendet.

Wenn ein Client eine SSL-Verbindung mit einer VMware Cloud Director-Zelle herstellt, bietet die Zelle nur diejenigen Verschlüsselungen an, die auf ihre Standardliste von zulässigen Verschlüsselungen konfiguriert sind. Mehrere Verschlüsselungen befinden sich nicht in dieser Liste, da sie entweder nicht stark genug sind, um die Verbindung zu sichern, oder zu SSL-Verbindungsfehlern beitragen.

Wenn Sie VMware Cloud Director installieren oder aktualisieren, überprüft das Installations- bzw. Upgrade-Skript die Zertifikate der Zelle. Wenn eines oder mehrere der Zertifikate mit einer Verschlüsselung verschlüsselt ist, die nicht in der Liste der zulässigen Verschlüsselungen enthalten ist, schlägt die Installation oder das Upgrade fehl. Sie können die folgenden Schritte ausführen, um die Zertifikate zu ersetzen und die Liste der zulässigen Verschlüsselungen neu zu konfigurieren:

  1. Erstellen Sie Zertifikate, die keine der unzulässigen Verschlüsselungen verwenden. Sie können cell-management-tool ciphers -a wie im nachstehenden Beispiel beschrieben verwenden, um alle Verschlüsselungen aufzulisten, die in der Standardkonfiguration zulässig sind.

  2. Mit dem Befehl cell-management-tool certificates können Sie die vorhandenen Zertifikate der Zelle durch die neuen Zertifikate ersetzen.

  3. Mit dem Befehl cell-management-tool ciphers können Sie die Liste der zulässigen Verschlüsselungen neu konfigurieren und alle erforderlichen Verschlüsselungen einschließen, die in Verbindung mit den neuen Zertifikaten verwendet werden sollen.

    Wichtig:

    Da die VMRC-Konsole die Verwendung der AES256-SHA- und AES128-SHA-Verschlüsselungen erfordert, können Sie sie nicht verbieten, wenn Ihre VMware Cloud Director-Clients die VMRC-Konsole verwenden.

Verwenden Sie zum Verwalten der Liste der zulässigen SSL-Verschlüsselungen eine Befehlszeile im folgenden Format:

cell-management-toolciphersoptions
Tabelle 1. Optionen des Zellenverwaltungstools und zugehörige Argumente, Unterbefehl ciphers

Option

Argument

Beschreibung

--help (-h)

Keines

Stellt eine Zusammenfassung der verfügbaren Befehle in dieser Kategorie bereit.

--all-allowed (-a)

Keines

Listet alle Verschlüsselungen auf, die VMware Cloud Director unterstützt.

--compatible-reset (-c) (veraltet)

Keines

Veraltet. Verwenden Sie die Option --reset, um die Liste der zulässigen Verschlüsselungen auf die Standardliste zurückzusetzen.

--disallow (-d)

Durch Kommata getrennte Liste mit Verschlüsselungsnamen.

Untersagt die Verwendung der Verschlüsselungen in der angegebenen kommagetrennten Liste. Bei jeder Ausführung dieser Option müssen Sie die vollständige Liste der Verschlüsselungen angeben, die Sie deaktivieren möchten, da die Ausführung der Option die vorherige Einstellung überschreibt.

Wichtig:

Wenn Sie die Option ohne Werte ausführen, werden alle Verschlüsselungen aktiviert.

Um alle möglichen Verschlüsselungen anzuzeigen, führen Sie die Option -a aus.

Wichtig:

Sie müssen die Zelle nach der Ausführung von ciphers --disallow neu starten.

--list (-l)

Keines

Listet die zulässigen Verschlüsselungen auf, die derzeit verwendet werden.

--reset (-r)

Keines

Setzt die Liste der zulässigen Verschlüsselungen auf die Standardliste zurück. Wenn die Zertifikate dieser Zelle unzulässige Verschlüsselungen verwenden, können Sie erst dann eine SSL-Verbindung mit der Zelle herstellen, wenn Sie die neuen Zertifikate installiert haben, die eine zulässige Verschlüsselung verwenden.

Wichtig:

Sie müssen die Zelle nach der Ausführung von ciphers --reset neu starten.

Untersagen der Verwendung von zwei Verschlüsselungen

VMware Cloud Director enthält eine vorkonfigurierte Liste aktivierter Verschlüsselungen.

In diesem Beispiel wird gezeigt, wie Sie zusätzliche Verschlüsselungen aus der Liste der zulässigen Verschlüsselungen aktivieren und die Zulassung von Verschlüsselungen, die Sie nicht verwenden möchten, aufheben können.

  1. Rufen Sie die Liste der standardmäßig aktivierten Verschlüsselungen ab.

    [root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ciphers -l

    Die Ausgabe des Befehls gibt die Liste der aktivierten Verschlüsselungen zurück.

    Allowed ciphers:
    * TLS_AES_256_GCM_SHA384
    * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  2. Rufen Sie eine Liste aller Verschlüsselungen ab, die die Zelle während eines SSL-Handshakes anbieten kann.

    [root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ciphers -a

    Die Ausgabe des Befehls gibt die Liste der zulässigen Verschlüsselungen zurück.

    Product default ciphers: 
    * TLS_AES_256_GCM_SHA384
    * TLS_AES_128_GCM_SHA256
    * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    * TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    * TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
    * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
    * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
    * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
    * TLS_RSA_WITH_AES_256_GCM_SHA384
    * TLS_RSA_WITH_AES_128_GCM_SHA256
    * TLS_RSA_WITH_AES_256_CBC_SHA256
    * TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
    * TLS_RSA_WITH_AES_256_CBC_SHA
    * TLS_RSA_WITH_AES_128_CBC_SHA256
    * TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
    * TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
    * TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
    * TLS_RSA_WITH_AES_128_CBC_SHA
  3. Geben Sie an, welche Verschlüsselungen deaktiviert werden sollen.

    Wenn Sie den Befehl ausführen und eine Verschlüsselung nicht explizit deaktivieren, wird sie aktiviert.

    [root@cell1 /opt/vmware/vcloud-director/bin]#./cell-management-tool ciphers -d TLS_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
  4. Führen Sie den Befehl aus, um die Liste der aktivierten Verschlüsselungen zu überprüfen. Jede Verschlüsselung, die in der Liste nicht vorhanden ist, wird deaktiviert.

    root@bos1-vcd-static-211-90 [ /opt/vmware/vcloud-director/bin ]# ./cell-management-tool ciphers -l

    Die Ausgabe gibt eine Liste aller derzeit aktivierten Verschlüsselungen zurück.

    Allowed ciphers: 
    * TLS_AES_256_GCM_SHA384
    * TLS_AES_128_GCM_SHA256
    * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    * TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    * TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
    * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
    * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
    * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
    * TLS_RSA_WITH_AES_256_GCM_SHA384
    * TLS_RSA_WITH_AES_128_GCM_SHA256
    * TLS_RSA_WITH_AES_256_CBC_SHA256
    * TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
    * TLS_RSA_WITH_AES_256_CBC_SHA
    * TLS_RSA_WITH_AES_128_CBC_SHA256
    * TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
    * TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA