Les services VMware Integrated OpenStack prennent en charge TLS 1.2 avec des suites de chiffrement ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256 par défaut. Pour personnaliser une suite de chiffrement TLS, utilisez l'utilitaire de ligne de commande Kubernetes.

Note : Si vous choisissez de configurer un protocole de sécurité autre que TLS, vous assumez un risque de sécurité potentiel.

La procédure suivante montre comment ajouter une suite de chiffrement pour TLS 1.1 au service Horizon VMware Integrated OpenStack.

Procédure

  1. Connectez-vous à Integrated OpenStack Manager en tant qu'utilisateur root.
    ssh root@mgmt-server-ip
  2. Entrez la commande pour configurer le service Horizon.
    osctl edit Horizon
  3. Pour utiliser TLS 1.1 et ajouter la suite de chiffrement ECDHE-RSA-AES256-SHA384, spécifiez la configuration suivante.
    spec:
      conf:
        ssl:
          protocol: TLSv1.1
          ciphersuite: ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384
        horizon:
          local_settings:
            config:
              openstack_neutron_network:
  4. Enregistrez la configuration.
  5. Après le redémarrage du service Horizon, vérifiez les paramètres de protocole et de suite de chiffrement.
    1. Entrez la commande suivante.
      osctl exec -it <pod-name> bash
    2. Ouvrez le fichier de configuration /etc/apache2/mods-enabled/ssl.conf.
    3. Pour vérifier les paramètres, recherchez les mots clés SSLProtocol et SSLCipherSuite, puis vérifiez leurs valeurs.