Pour configurer l'ensemble de protocoles SSL que la cellule propose d'utiliser lors du processus d'établissement de liaison SSL, utilisez la commande ssl-protocols de l'outil de gestion des cellules.

Lorsqu'un client effectue une connexion SSL sur une cellule VMware Cloud Director, la cellule propose d'utiliser uniquement les protocoles qui sont configurés sur sa liste de protocoles SSL autorisés. TLSv1 ne figure pas dans la liste par défaut, car il est connu pour présenter de graves failles de sécurité. Pour plus d'informations sur l'activation de TLS 1.0 ou TLS 1.1 pour VMware Cloud Director 10.4 ou version ultérieure, reportez-vous à l'article 88929 de la base de connaissances.

Procédure

  1. Connectez-vous, directement ou à l'aide d'un client SSH, au système d'exploitation de la cellule VMware Cloud Director en tant qu'utilisateur racine.
  2. Exécutez la commande pour gérer la liste des protocoles SSL autorisés.
    cell-management-tool ssl-protocols options
    Tableau 1. Options et arguments de l'outil de gestion des cellules, sous-commande ssl-protocols
    Option Argument Description
    --help (-h) Aucune Fournit un résumé des commandes disponibles dans cette catégorie.
    --all-allowed (-a) Aucune Répertoriez tous les protocoles SSL pris en charge par VMware Cloud Director.
    --disallow (-d) Liste de noms de protocoles SSL séparés par une virgule. Reconfigurez la liste des protocoles SSL non autorisés sur les protocoles spécifiés dans la liste. Chaque fois que vous exécutez cette option, vous devez inclure la liste complète des protocoles SSL que vous souhaitez désactiver, car l'exécution de l'option remplace le paramètre précédent.
    Important : L'exécution de l'option sans valeur active tous les protocoles SSL.
    Pour afficher tous les protocoles SSL possibles, exécutez l'option -a.
    Important : Vous devez redémarrer la cellule après l'exécution de ssl-protocols --disallow.
    --list (-l) Aucune Répertorie l'ensemble des protocoles SSL autorisés en cours d'utilisation.
    --reset (-r) Aucune Réinitialisez la liste des protocoles SSL configurés sur les paramètres d'usine par défaut.
    Important : Vous devez redémarrer la cellule après l'exécution de ssl-protocols --reset.

Exemple : Répertoriez les protocoles SSL autorisés et configurés, et reconfigurez la liste des protocoles SSL non autorisés

Utilisez l'option --all-allowed (-a) pour répertorier tous les protocoles SSL que la cellule est autorisée à offrir lors de l'établissement de liaison SSL.

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -a
Product default SSL protocols:

    * TLSv1.2
    * TLSv1.1
    * TLSv1

En général, cette liste est un sur-ensemble de protocoles SSL que la cellule est configurée pour prendre en charge. Pour répertorier ces protocoles SSL, utilisez l'option --list (-l).

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -l
Allowed SSL protocols:

    * TLSv1.2
    * TLSv1.1

Pour reconfigurer la liste des protocoles SSL non autorisés, utilisez l'option --disallow (-d). Cette option nécessite une liste des sous-ensembles (séparés par une virgule) des protocoles autorisés produite par ssl-protocols –a.

Cet exemple met à jour la liste des protocoles SSL non autorisés pour inclure TLSv1. Les versions de vCenter Serverantérieures à la version 5.5 Update 3e nécessitent TLSv1.
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -d TLSv1
Vous devez redémarrer la cellule après avoir exécuté cette commande.