Les services VMware Integrated OpenStack prennent en charge TLS 1.2 avec des suites de chiffrement ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256
par défaut. Pour personnaliser une suite de chiffrement TLS, utilisez l'utilitaire de ligne de commande Kubernetes.
Note : Si vous choisissez de configurer un protocole de sécurité autre que TLS, vous assumez un risque de sécurité potentiel.
La procédure suivante montre comment ajouter une suite de chiffrement pour TLS 1.1 au service Horizon VMware Integrated OpenStack.
Procédure
- Connectez-vous à Integrated OpenStack Manager en tant qu'utilisateur
root
.
- Entrez la commande pour configurer le service Horizon.
- Pour utiliser TLS 1.1 et ajouter la suite de chiffrement ECDHE-RSA-AES256-SHA384, spécifiez la configuration suivante.
spec:
conf:
ssl:
protocol: TLSv1.1
ciphersuite: ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384
horizon:
local_settings:
config:
openstack_neutron_network:
- Enregistrez la configuration.
- Après le redémarrage du service Horizon, vérifiez les paramètres de protocole et de suite de chiffrement.
- Entrez la commande suivante.
osctl exec -it <pod-name> bash
- Ouvrez le fichier de configuration /etc/apache2/mods-enabled/ssl.conf.
- Pour vérifier les paramètres, recherchez les mots clés
SSLProtocol
et SSLCipherSuite
, puis vérifiez leurs valeurs.