VMware Integrated OpenStack-Dienste unterstützen standardmäßig TLS 1.2 mit Verschlüsselungs-Suites ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256. Zum Anpassen einer TLS-Verschlüsselungs-Suite verwenden Sie das Befehlszeilendienstprogramm Kubernetes.

Hinweis: Wenn Sie ein anderes Sicherheitsprotokoll als TLS konfigurieren, müssen Sie von einem potenziellen Sicherheitsrisiko ausgehen.

Das folgende Verfahren zeigt, wie Sie dem VMware Integrated OpenStack-Horizon-Dienst eine Verschlüsselungs-Suite für TLS 1.1 hinzufügen.

Prozedur

  1. Melden Sie sich beim Integrated OpenStack Manager als root-Benutzer an. 
    ssh root@mgmt-server-ip
  2. Geben Sie den Befehl zur Konfiguration des Horizon-Diensts ein. 
    osctl edit Horizon
  3. Wenn Sie TLS 1.1 verwenden und die Verschlüsselungs-Suite ECDHE-RSA-AES256-SHA384 hinzufügen möchten, geben Sie die folgende Konfiguration an. 
    spec:
  conf:
    ssl:
      protocol: TLSv1.1
      ciphersuite: ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384
    horizon:
      local_settings:
        config:
          openstack_neutron_network:
  4. Speichern Sie die Konfiguration.
  5. Nachdem der Horizon-Dienst neu gestartet wurde, überprüfen Sie die Einstellungen für das Protokoll und die Verschlüsselungs-Suite.
    1. Geben Sie den folgenden Befehl ein: 
      osctl exec -it <pod-name> bash
    2. Öffnen Sie die Konfigurationsdatei /etc/apache2/mods-enabled/ssl.conf.
    3. Suchen Sie zur Überprüfung der Einstellungen nach den Schlüsselwörtern SSLProtocol und SSLCipherSuite und prüfen Sie deren Werte.