Per configurare il set di protocolli SSL che la cella offre per l'utilizzo durante il processo di handshake SSL, utilizzare il comando ssl-protocols dello strumento di gestione delle celle.
Quando un client effettua una connessione SSL a una cella VMware Cloud Director, la cella mette a disposizione solo i protocolli configurati nell'elenco dei protocolli SSL consentiti. TLSv1 non è nell'elenco predefinito perché include gravi vulnerabilità di sicurezza note.
Procedura
- Accedere direttamente o tramite un client SSH al sistema operativo della cella di VMware Cloud Director come utente root.
- Eseguire il comando per gestire l'elenco dei protocolli SSL consentiti.
cell-management-tool ssl-protocols options
Tabella 1.
Opzioni e argomenti dello strumento di gestione delle celle, sottocomando ssl-protocols
Opzione |
Argomento |
Descrizione |
--help (-h) |
Nessuno |
Fornisce un riepilogo dei comandi disponibili in questa categoria. |
--all-allowed (-a) |
Nessuno |
Elenca tutti i protocolli SSL supportati da VMware Cloud Director. |
--disallow (-d) |
Elenco separato da virgole dei nomi dei protocolli SSL. |
Consente di riconfigurare l'elenco dei protocolli SSL non consentiti con quelli specificati nell'elenco. Ogni volta che si esegue questa opzione, è necessario includere l'elenco completo dei protocolli SSL che si desidera disattivare perché l'esecuzione dell'opzione sovrascrive l'impostazione precedente.
Importante: Se si esegue l'opzione senza alcun valore, vengono attivati tutti i protocolli SSL.
Per visualizzare tutti i protocolli SSL possibili, eseguire l'opzione -a.
Importante: Dopo aver eseguito
ssl-protocols --disallow, è necessario riavviare la cella.
|
--list (-l) |
Nessuno |
Elenca il set di protocolli SSL consentiti attualmente in uso. |
--reset (-r) |
Nessuno |
Reimpostazione dei valori predefiniti dell'elenco dei protocolli SSL configurati.
Importante: Dopo aver eseguito
ssl-protocols --reset, è necessario riavviare la cella.
|
Esempio: Elenco dei protocolli SSL consentiti e configurati e riconfigurazione dell'elenco dei protocolli SSL non consentiti
Utilizzare l'opzione --all-allowed (-a) per elencare tutti i protocolli SSL che la cella può mettere a disposizione durante un handshake SSL.
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -a
Product default SSL protocols:
* TLSv1.2
* TLSv1.1
* TLSv1
Questo elenco è in genere un superset di protocolli SSL che la cella è in grado di supportare. Per ottenere un elenco dei protocolli SSL, utilizzare l'opzione --list (-l).
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -l
Allowed SSL protocols:
* TLSv1.2
* TLSv1.1
Per riconfigurare l'elenco dei protocolli SSL non consentiti, utilizzare l'opzione --disallow (-d). Questa opzione richiede un elenco separato da virgole del subset di protocolli consentiti prodotto da ssl-protocols –a.
Questo esempio aggiorna l'elenco dei protocolli SSL non consentiti per includere TLSv1. Le release di
vCenter Server precedenti alla 5.5 aggiornamento 3e richiedono TLSv1.
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -d TLSv1
Dopo aver eseguito questo comando, è necessario riavviare la cella.