Para configurar el conjunto de protocolos SSL que la celda ofrece para usar durante el proceso de protocolo de enlace SSL, utilice el comando ssl-protocols de la herramienta de administración de celdas.

Cuando un cliente establece una conexión SSL con una celda VMware Cloud Director, la celda ofrece usar solo aquellos protocolos configurados en su lista de protocolos SSL permitidos. TLSv1 no está en la lista predeterminada porque se sabe que tiene vulnerabilidades de seguridad graves.

Procedimiento

  1. Inicie sesión directamente o mediante un cliente SSH en el SO de celda de VMware Cloud Director como raíz.
  2. Ejecute el comando para administrar la lista de protocolos SSL permitidos.
    cell-management-tool ssl-protocols options
    Tabla 1. Opciones y argumentos de la herramienta de administración de celdas, subcomando ssl-protocols
    Opción Argumento Descripción
    --help (-h) Ninguno Proporciona un resumen de los comandos disponibles en esta categoría.
    --all-allowed (-a) Ninguno Enumere todos los protocolos SSL que admite VMware Cloud Director.
    --disallow (-d) Lista separada por comas de nombres de protocolos SSL. Vuelva a configurar la lista de protocolos SSL no permitidos con los que se especifican en la lista. Cada vez que ejecute esta opción, debe incluir la lista completa de protocolos SSL que desea desactivar, ya que al ejecutar la opción se sobrescribe la configuración anterior.
    Importante: Al ejecutar la opción sin ningún valor, se activan todos los protocolos SSL.
    Para ver todos los protocolos SSL posibles, ejecute la opción -a.
    Importante: Debe reiniciar la celda después de ejecutar ssl-protocols --disallow.
    --list (-l) Ninguno Enumere el conjunto de protocolos SSL permitidos que están en uso actualmente.
    --reset (-r) Ninguno Restablezca la lista de protocolos SSL configurados al valor predeterminado de fábrica.
    Importante: Debe reiniciar la celda después de ejecutar ssl-protocols --reset.

Ejemplo: Enumerar protocolos SSL permitidos y configurados, y volver a configurar la lista de protocolos SSL no permitidos

Use la opción --all-allowed (-a) para elaborar una lista de todos los protocolos SSL que se pueden permitir en la celda para su uso durante un protocolo de intercambio SSL.

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -a
Product default SSL protocols:

    * TLSv1.2
    * TLSv1.1
    * TLSv1

Esta lista suele ser un directorio de protocolos SSL que la configuración de la celda admite. Para elaborar una lista de dichos protocolos SSL, utilice la opción --list (-l).

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -l
Allowed SSL protocols:

    * TLSv1.2
    * TLSv1.1

Para volver a configurar la lista de protocolos SSL no permitidos, utilice la opción --disallow (-d). Esta opción requiere una lista separada por comas del subconjunto de protocolos permitidos producida por ssl-protocols –a.

En este ejemplo, se actualiza la lista de protocolos SSL no permitidos para incluir TLSv1. Las versiones de vCenter Server anteriores a 5.5 Update 3e requieren TLSv1.
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -d TLSv1
Debe reiniciar la celda después de ejecutar este comando.