Verwalten der Liste der zulässigen SSL-Protokolle in VMware Cloud Director

Um den Satz an SSL-Protokollen zu konfigurieren, die die VMware Cloud Director-Zelle während des SSL-Handshake-Vorgangs bereitstellt, verwenden Sie den Befehl ssl-protocols des Zellenverwaltungstools.

Wenn ein Client eine SSL-Verbindung mit einer VMware Cloud Director-Zelle herstellt, bietet die Zelle nur die Protokolle an, die in ihrer Standardliste von zulässigen SSL-Protokollen konfiguriert sind. Weitere Informationen zum Aktivieren von TLS 1.0 oder TLS 1.1 für VMware Cloud Director 10.5 oder höher finden Sie unter KB 88929.

Prozedur

Melden Sie sich direkt oder mithilfe eines SSH-Clients beim Betriebssystem der VMware Cloud Director-Zelle als root an.

Führen Sie den Befehl aus, um die Liste der zulässigen SSL-Protokolle zu verwalten.

cell-management-tool ssl-protocols options

Tabelle 1. Optionen des Zellenverwaltungstools und zugehörige Argumente, Unterbefehl ssl-protocols
Option	Argument	Beschreibung
--help (-h)	Keines	Stellt eine Zusammenfassung der verfügbaren Befehle in dieser Kategorie bereit.
--all-allowed (-a)	Keines	Listet alle SSL-Protokolle auf, die VMware Cloud Director unterstützt.
--disallow (-d)	Durch Kommata getrennte Liste mit SSL-Protokollnamen.	Konfiguriert die Liste der nicht zulässigen SSL-Protokolle neu, indem die in der Liste angegebenen Protokolle verwendet werden. Bei jeder Ausführung dieser Option müssen Sie die vollständige Liste der SSL-Protokolle angeben, die Sie deaktivieren möchten, da die Ausführung der Option die vorherige Einstellung überschreibt. Wichtig: Wenn Sie die Option ohne Werte ausführen, werden alle SSL-Protokolle aktiviert. Um alle möglichen SSL-Protokolle anzuzeigen, führen Sie die Option -a aus. Wichtig: Sie müssen die Zelle nach der Ausführung von `ssl-protocols --disallow` neu starten.
--list (-l)	Keines	Listet die zulässigen SSL-Protokolle auf, die derzeit verwendet werden.
--reset (-r)	Keines	Setzt die Liste der konfigurierten SSL-Protokolle auf die Standardeinstellung zurück. Wichtig: Sie müssen die Zelle nach der Ausführung von `ssl-protocols --reset` neu starten.

Beispiel: Listet zulässige und konfigurierte SSL-Protokolle auf und konfiguriert die Liste der nicht zulässigen SSL-Protokolle neu

Verwenden Sie die Option --all-allowed (-a), um alle SSL-Protokolle aufzulisten, die die Zelle während des SSL-Handshake-Vorgangs bereitstellen darf.

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -a
Product default SSL protocols:
* TLSv1.3
* TLSv1.2
* TLSv1.1
* TLSv1

Diese Liste ist typischerweise eine Übermenge der SSL-Protokolle, für deren Unterstützung die Zelle konfiguriert ist. Um diese SSL-Protokolle aufzulisten, verwenden Sie die Option --list (-l).

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -l
Allowed SSL protocols:
* TLSv1.3
* TLSv1.2

Um die Liste der nicht zulässigen SSL-Protokolle neu zu konfigurieren, verwenden Sie die Option --disallow (-d). Für diese Option ist eine durch Komma getrennte Liste der Teilmenge zulässiger von ssl-protocols –a erzeugter Protokolle erforderlich.

In diesem Beispiel wird die Liste der nicht zulässigen SSL-Protokolle aktualisiert, sodass sie TLSv1, TLSv1.1 und TLSv1.3 enthält.

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -d TLSv1,TLSv1.1,TLSv1.3

Sie müssen die Zelle nach Ausführung dieses Befehls neu starten.

Wenn Sie den Befehl ausführen, um die Liste der nicht zulässigen SSL-Protokolle zu überprüfen, gibt VMware Cloud Director nur TLSv1.2 zurück.

# ./cell-management-tool ssl-protocols -l
Allowed SSL protocols: 
* TLSv1.2