Utilice el comando ciphers de la herramienta de administración de celdas para configurar el grupo de conjuntos de cifrado que la celda ofrece para su uso durante el proceso de protocolo de intercambio SSL.
Nota: El comando
ciphers solo se aplica al conjunto de certificados que utiliza
VMware Cloud Director para las comunicaciones de proxy de consola y HTTPS, y no a los certificados que el dispositivo de
VMware Cloud Director utiliza para la API y la interfaz de usuario de administración de dispositivos.
Cuando un cliente establece una conexión SSL con una celda VMware Cloud Director, la celda ofrece usar solo aquellos cifrados configurados en su lista predeterminada de cifrados permitidos. Varios cifrados no se encuentran en la lista, bien porque no son lo suficientemente sólidos como para asegurar la conexión, o bien porque son conocidos por contribuir a los errores de conexión de SSL.
Al instalar o actualizar
VMware Cloud Director, el script de instalación o actualización examina los certificados de la celda. Si alguno de los certificados está cifrado con un cifrado que no se encuentra en la lista de permitidos, se produce un error en la instalación o la actualización. Puede realizar los siguientes pasos para reemplazar los certificados y volver a configurar la lista de cifrados permitidos:
- Cree certificados que no utilicen ninguno de los cifrados no permitidos. Puede usar cell-management-tool ciphers -a como se muestra en el siguiente ejemplo para elaborar una lista de todos los cifrados que se permiten en la configuración predeterminada.
- Utilice el comando cell-management-tool certificates para reemplazar los certificados existentes en la celda por los nuevos.
- Utilice el comando cell-management-tool ciphers para volver a configurar la lista de cifrados permitidos e incluir todos los cifrados necesarios para usar con los nuevos certificados.
Importante: Debido a que la consola VMRC requiere el uso de los cifrados AES256-SHA y AES128-SHA, no puede excluirlos si sus clientes VMware Cloud Director usan la consola VMRC.
Para administrar la lista de cifrados SSL permitidos, utilice una línea de comandos con el siguiente formato:
cell-management-tool ciphers options
| Opción | Argumento | Descripción |
|---|---|---|
| --help (-h) | Ninguno | Proporciona un resumen de los comandos disponibles en esta categoría. |
| --all-allowed (-a) | Ninguno | Enumere todos los cifrados que admite VMware Cloud Director. |
| --compatible-reset (-c) (obsoleto) | Ninguno | Obsoleto. Use la opción --reset para restablecer la lista predeterminada de cifrados permitidos. |
| --disallow (-d) | Lista de nombres de cifrado separados por comas. | No permita los cifrados de la lista separada por comas especificada. Cada vez que ejecute esta opción, debe incluir la lista completa de cifrados que desea desactivar, ya que al ejecutar la opción se sobrescribe la configuración anterior.
Importante: Al ejecutar la opción sin ningún valor, se activan todos los cifrados.
Para ver todos los cifrados posibles, ejecute la opción -a.
Importante: Debe reiniciar la celda después de ejecutar
ciphers --disallow.
|
| --list (-l) | Ninguno | Enumere el conjunto de cifrados permitidos que están en uso actualmente. |
| --reset (-r) | Ninguno | Restablezca la lista predeterminada de cifrados permitidos. Si los certificados de esta celda utilizan cifrados no permitidos, no podrá establecer una conexión SSL con la celda hasta que instale nuevos certificados que utilicen un cifrado permitido.
Importante: Debe reiniciar la celda después de ejecutar
ciphers --reset.
|
No permita dos cifrados
VMware Cloud Director incluye una lista preconfigurada de cifrados habilitados.
En este ejemplo se muestra cómo habilitar cifrados adicionales de la lista de cifrados permitidos y cómo no permitir los cifrados que no desea utilizar.
- Obtenga la lista de cifrados que están habilitados de forma predeterminada.
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ciphers -l
El resultado del comando devuelve la lista de cifrados habilitados.Allowed ciphers: * TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- Obtenga una lista de todos los cifrados que la celda puede ofrecer durante un protocolo de enlace SSL.
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ciphers -a
El resultado del comando devuelve la lista de cifrados permitidos.# ./cell-management-tool ciphers -a Product default ciphers: * TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 * TLS_RSA_WITH_AES_256_GCM_SHA384 * TLS_RSA_WITH_AES_128_GCM_SHA256 * TLS_RSA_WITH_AES_256_CBC_SHA256 * TLS_ECDH_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDH_RSA_WITH_AES_128_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA
- Especifique los cifrados que desea desactivar.
Si ejecuta el comando y no desactiva explícitamente un cifrado, se activa.
[root@cell1 /opt/vmware/vcloud-director/bin]#./cell-management-tool ciphers -d TLS_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
- Ejecute el comando para comprobar la lista de cifrados activados. Cualquier cifrado que no esté presente en la lista se desactivará.
root@bos1-vcd-static-211-90 [ /opt/vmware/vcloud-director/bin ]# ./cell-management-tool ciphers -l
El resultado devuelve una lista de todos los cifrados que ahora están habilitados.Allowed ciphers: * TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 * TLS_RSA_WITH_AES_256_GCM_SHA384 * TLS_RSA_WITH_AES_128_GCM_SHA256 * TLS_RSA_WITH_AES_256_CBC_SHA256 * TLS_ECDH_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
