Utilisez la commande ciphers de l'outil de gestion des cellules pour configurer l'ensemble des suites de chiffrement que la cellule propose d'utiliser lors du processus d'établissement de liaison SSL.
La commande ciphers ne s'applique qu'au certificats que VMware Cloud Director utilise pour les communications HTTPS, et non aux certificats que le dispositif VMware Cloud Director utilise pour son interface utilisateur de gestion de dispositif et son API.
Lorsqu'un client effectue une connexion SSL sur une cellule VMware Cloud Director, la cellule propose d'utiliser uniquement les chiffrements qui sont configurés sur la liste par défaut des chiffrements autorisés. Plusieurs chiffrements ne font pas partie de cette liste, soit parce qu'ils ne sont pas suffisamment robustes pour sécuriser la connexion, soit parce qu'ils sont connus pour contribuer aux échecs de connexion SSL.
Lorsque vous installez ou mettez à niveau VMware Cloud Director, le script d'installation ou de mise à niveau examine les certificats de la cellule. Si l'un des certificats est chiffré à l'aide d'un chiffrement qui ne figure pas dans la liste des chiffrements autorisés, l'installation ou la mise à niveau échoue. Vous pouvez effectuer les étapes suivantes pour remplacer les certificats et reconfigurer la liste des chiffrements autorisés :
Créez des certificats qui n'utilisent aucun des chiffrements interdits. Vous pouvez utiliser cell-management-tool ciphers -a comme indiqué dans l'exemple ci-dessous pour répertorier tous les chiffrements autorisés dans la configuration par défaut.
Utilisez la commande cell-management-tool certificates pour remplacer les certificats existants de la cellule par les nouveaux.
Utilisez la commande cell-management-tool ciphers pour reconfigurer la liste des chiffrements autorisés et pour inclure tous les chiffrements nécessaires à utiliser avec les nouveaux certificats.
Important :Étant donné que la console VMRC requiert l'utilisation de chiffrements AES256-SHA et AES128-SHA, vous ne pouvez pas les rejeter si vos clients VMware Cloud Director utilisent la console VMRC.
Pour gérer la liste des chiffrements SSL autorisés, utilisez une ligne de commande ayant le format suivant :
cell-management-toolciphersoptions
Option |
Argument |
Description |
---|---|---|
--help (-h) |
Aucune |
Fournit un résumé des commandes disponibles dans cette catégorie. |
--all-allowed (-a) |
Aucune |
Répertoriez tous les chiffrements pris en charge par VMware Cloud Director. |
--compatible-reset (-c) (obsolète) |
Aucune |
Obsolète. Utilisez l'option --reset pour rétablir la liste par défaut des chiffrements autorisés. |
--disallow (-d) |
Liste de noms de chiffrement séparés par des virgules. |
Rejeter les chiffrements de la liste séparée par des virgules spécifiée. Chaque fois que vous exécutez cette option, vous devez inclure la liste complète des chiffrements que vous souhaitez désactiver, car l'exécution de l'option remplace le paramètre précédent.
Important :
L'exécution de l'option sans valeur active tous les chiffrements. Pour afficher tous les chiffrements possibles, exécutez l'option -a.
Important :
Vous devez redémarrer la cellule après l'exécution de ciphers --disallow. |
--list (-l) |
Aucune |
Répertorie l'ensemble des chiffrements autorisés en cours d'utilisation. |
--reset (-r) |
Aucune |
Réinitialisez la liste par défaut des chiffrements autorisés. Si les certificats de cette cellule utilisent des chiffrements non autorisés, vous ne pouvez pas établir de connexion SSL à la cellule tant que vous n'aurez pas installé de nouveaux certificats qui contiennent un chiffrement autorisé.
Important :
Vous devez redémarrer la cellule après l'exécution de ciphers --reset. |
Rejeter deux chiffrements
VMware Cloud Director inclut une liste préconfigurée de chiffrements activés.
Cet exemple montre comment activer des chiffrements supplémentaires à partir de la liste des chiffrements autorisés et comment interdire les chiffrements que vous ne souhaitez pas utiliser.
Obtenez la liste des chiffrements activés par défaut.
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ciphers -l
La sortie de la commande renvoie la liste des chiffrements activés.
Allowed ciphers: * TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
Obtenez une liste de tous les chiffrements que la cellule peut offrir lors d'une négociation SSL.
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ciphers -a
La sortie de la commande renvoie la liste des chiffrements autorisés.
# ./cell-management-tool ciphers -a Product default ciphers: * TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 * TLS_RSA_WITH_AES_256_GCM_SHA384 * TLS_RSA_WITH_AES_128_GCM_SHA256 * TLS_RSA_WITH_AES_256_CBC_SHA256 * TLS_ECDH_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDH_RSA_WITH_AES_128_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA
Spécifiez les chiffrements à désactiver.
Si vous exécutez la commande et que vous ne désactivez pas explicitement un chiffrement, il est activé.
[root@cell1 /opt/vmware/vcloud-director/bin]#./cell-management-tool ciphers -d TLS_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
Exécutez la commande pour vérifier la liste des chiffrements activés. Tout chiffrement absent de la liste est désactivé.
root@bos1-vcd-static-211-90 [ /opt/vmware/vcloud-director/bin ]# ./cell-management-tool ciphers -l
La sortie renvoie une liste de tous les chiffrements qui sont maintenant activés.
Allowed ciphers: * TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 * TLS_RSA_WITH_AES_256_GCM_SHA384 * TLS_RSA_WITH_AES_128_GCM_SHA256 * TLS_RSA_WITH_AES_256_CBC_SHA256 * TLS_ECDH_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA