Die Konfiguration der Krypto-Agilität für den CDS-Client wird nachfolgend beschrieben.
Zurzeit verwendet der DaaS-Agent die von der gSoap-Bibliothek unterstützten Standardverschlüsselungen und SSL-Protokolle. Nachfolgend finden Sie die Registrierungsschlüssel zur Anpassung der Verschlüsselungen und SSL-Protokolle.
- Der Mandant sollte die auf der Clientseite angegebenen SSL-Protokolle bzw. Einstellungen unterstützen. Andernfalls kann der Client nicht mit dem Mandanten kommunizieren.
- Der Agent ist eine 32-Bit-Anwendung. Der Registrierungspfad wird geändert, wenn der Agent auf einer 64-Bit-Maschine installiert ist, wie unter https://msdn.microsoft.com/de-de/library/windows/desktop/ms724072(v=vs.85).aspx beschrieben.
ClientSecureProtocols
- Schlüsselpfad: HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware DaaS Agent\ClientSecureProtocols
- Typ: Zeichenfolge
- Format des Wertes: Kombination aus folgenden Werten, getrennt durch |
- SOAP_TLSv1
Wenn Sie diesen Wert in der Registrierung hinzufügen, verwendet der Agent eines der folgenden Protokolle für die Kommunikation mit dem Mandanten: TLSv1.0, TLSv1.1 oder TLSv1.2.
- SOAP_SSLv3_TLSv1
Wenn Sie diesen Wert in der Registrierung hinzufügen, verwendet der Agent entweder das SSLv3-Protokoll oder das TLSv1-Protokoll (v1.0, v1.1 oder v1.2) für die Kommunikation mit dem Mandanten.
- SOAP_SSLv3
Wenn Sie diesen Wert in der Registrierung hinzufügen, verwendet der Agent nur das SSLV3-Protokoll für die Kommunikation mit dem Mandanten.
- SOAP_TLSv1_0
Wenn Sie diesen Wert in der Registrierung hinzufügen, verwendet der Agent nur das TLS v1.0-Protokoll für die Kommunikation mit dem Mandanten.
- SOAP_TLSv1_1
Wenn Sie diesen Wert in der Registrierung hinzufügen, verwendet der Agent nur das TLS v1.1-Protokoll für die Kommunikation mit dem Mandanten.
- SOAP_TLSv1_2
Wenn Sie diesen Wert in der Registrierung hinzufügen, verwendet der Agent nur das TLS v1.2-Protokoll für die Kommunikation mit dem Mandanten.
- SOAP_TLSv1
- Standardwert: SOAP_TLSv1_1|SOAP_TLSv1_2
Weist darauf hin, dass der Agent entweder das TLSV1.1-Protokoll oder das TLSV1.2-Protokoll für die Kommunikation mit dem Mandanten verwendet.
ClientCipherSuites
- Schlüsselpfad: HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware DaaS Agent\ClientCipherSuites
- Typ: Zeichenfolge
- Format des Wertes: Siehe https://www.openssl.org/docs/manmaster/ssl/ciphers.html oder http://openssl.cs.utah.edu/docs/apps/ciphers.html
- Standardwert: !aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES
ClientAuthenticationSettings
- Schlüsselpfad: HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware DaaS Agent\ClientAuthenticationSettings
- Typ: Zeichenfolge
- Format des Wertes: Kombination aus folgenden Werten, getrennt durch |
- SOAP_SSL_REQUIRE_SERVER_AUTHENTICATION
Wenn Sie diesen Schlüssel zum Wert hinzufügen, müssen Server sich beim Client authentifizieren.
Hinweis: Es wurde nur diese Konfiguration getestet. - SOAP_SSL_SKIP_HOST_CHECK
Wenn Sie diesen Schlüssel zum Wert hinzufügen, wird die Überprüfung des allgemeinen Namen des Hosts im Zertifikat deaktiviert.
- SOAP_SSL_ALLOW_EXPIRED_CERTIFICATE
Wenn Sie diesen Schlüssel zum Wert hinzufügen, wird die Überprüfung des Ablaufdatums des Zertifikats deaktiviert und die Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) werden nicht überprüft.
- SOAP_SSL_NO_DEFAULT_CA_PATH
Wenn Sie diesen Schlüssel zum Wert hinzufügen, wird „default_verify_paths“ (OpenSSL) deaktiviert.
- SOAP_SSL_RSA
Wenn Sie diesen Schlüssel zum Wert hinzufügen, verwendet der Agent RSA zur Authentifizierung mit dem Mandanten.
- SOAP_SSL_REQUIRE_SERVER_AUTHENTICATION
- Standardwert: SOAP_SSL_REQUIRE_SERVER_AUTHENTICATION
CipherSuites
- Schlüsselpfad: HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware VDM\Agent\Configuration\SSL\CipherSuites
- Typ: Zeichenfolge
- Format des Wertes: Geben Sie mehrere Verschlüsselungen mit Doppelpunkt als Trennzeichen an.
ProtocolsNotToBeDisabled
- Schlüsselpfad: HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware VDM\Agent\Configuration\SSL\ ProtocolsNotToBeDisabled
- Typ: DWORD (32-Bit)
- Format des Wertes:
- Um TLSv1 und höher zu aktivieren, geben Sie „04000000“ als Hexadezimalwert an.
- Um TLSv1_1 und höher zu aktivieren, geben Sie „10000000“ als Hexadezimalwert an.
- Um TLSv1_2 und höher zu aktivieren, geben Sie „08000000“ als Hexadezimalwert an. (Dies ist der aktuelle Standardwert).
