Per configurare il set di protocolli SSL che la cella offre per l'utilizzo durante il processo di handshake SSL, utilizzare il comando ssl-protocols dello strumento di gestione delle celle.

Quando un client effettua una connessione SSL a una cella VMware Cloud Director, la cella mette a disposizione solo i protocolli configurati nell'elenco dei protocolli SSL consentiti. TLSv1 non è nell'elenco predefinito perché include gravi vulnerabilità di sicurezza note.

Procedura

  1. Accedere direttamente o tramite un client SSH al sistema operativo della cella di VMware Cloud Director come utente root.
  2. Eseguire il comando per gestire l'elenco dei protocolli SSL consentiti.
    cell-management-tool ssl-protocols options
    Tabella 1. Opzioni e argomenti dello strumento di gestione delle celle, sottocomando ssl-protocols
    Opzione Argomento Descrizione
    --help (-h) Nessuno Fornisce un riepilogo dei comandi disponibili in questa categoria.
    --all-allowed (-a) Nessuno Elenca tutti i protocolli SSL supportati da VMware Cloud Director.
    --disallow (-d) Elenco separato da virgole dei nomi dei protocolli SSL. Consente di riconfigurare l'elenco dei protocolli SSL non consentiti con quelli specificati nell'elenco. Ogni volta che si esegue questa opzione, è necessario includere l'elenco completo dei protocolli SSL che si desidera disattivare perché l'esecuzione dell'opzione sovrascrive l'impostazione precedente.
    Importante: Se si esegue l'opzione senza alcun valore, vengono attivati tutti i protocolli SSL.
    Per visualizzare tutti i protocolli SSL possibili, eseguire l'opzione -a.
    Importante: Dopo aver eseguito ssl-protocols --disallow, è necessario riavviare la cella.
    --list (-l) Nessuno Elenca il set di protocolli SSL consentiti attualmente in uso.
    --reset (-r) Nessuno Reimpostazione dei valori predefiniti dell'elenco dei protocolli SSL configurati.
    Importante: Dopo aver eseguito ssl-protocols --reset, è necessario riavviare la cella.

Esempio: Elenco dei protocolli SSL consentiti e configurati e riconfigurazione dell'elenco dei protocolli SSL non consentiti

Utilizzare l'opzione --all-allowed (-a) per elencare tutti i protocolli SSL che la cella può mettere a disposizione durante un handshake SSL.

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -a
Product default SSL protocols:

    * TLSv1.2
    * TLSv1.1
    * TLSv1

Questo elenco è in genere un superset di protocolli SSL che la cella è in grado di supportare. Per ottenere un elenco dei protocolli SSL, utilizzare l'opzione --list (-l).

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -l
Allowed SSL protocols:

    * TLSv1.2
    * TLSv1.1

Per riconfigurare l'elenco dei protocolli SSL non consentiti, utilizzare l'opzione --disallow (-d). Questa opzione richiede un elenco separato da virgole del subset di protocolli consentiti prodotto da ssl-protocols –a.

Questo esempio aggiorna l'elenco dei protocolli SSL non consentiti per includere TLSv1. Le release di vCenter Server precedenti alla 5.5 aggiornamento 3e richiedono TLSv1.
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -d TLSv1
Dopo aver eseguito questo comando, è necessario riavviare la cella.