Utilizzare il comando ciphers dello strumento di gestione delle celle per configurare il set di pacchetti di crittografia messo a disposizione dalla cella, da utilizzare durante il processo di handshake SSL.
Il comando ciphers si applica solo al certificato che VMware Cloud Director utilizza per le comunicazioni HTTPS e non ai certificati che l'appliance VMware Cloud Director utilizza per l'interfaccia utente di gestione dell'appliance e l'API.
Quando un client effettua una connessione SSL a una cella VMware Cloud Director, la cella mette a disposizione solo la crittografia configurata nell'elenco crittografia consentita predefinito. Diversi set di crittografia non sono inclusi nell'elenco in quanto potrebbero non essere abbastanza forti da proteggere la connessione oppure sono noti per determinare errori di connessione SSL.
Quando si installa o si aggiorna VMware Cloud Director, lo script di installazione o di aggiornamento esamina i certificati della cella. Se uno dei certificati è crittografato utilizzando una crittografia che non è presente nell'elenco delle crittografie consentite, l'installazione o l'aggiornamento non riescono. I passaggi seguenti consentono di sostituire i certificati e riconfigurare l'elenco di crittografie consentite:
Creare certificati che non utilizzino una crittografia non consentita. È possibile utilizzare cell-management-tool ciphers -a come illustrato nell'esempio seguente per elencare tutte le crittografie consentite nella configurazione predefinita.
Utilizzare il comando cell-management-tool certificates per sostituire i certificati esistenti della cella con quelli nuovi.
Utilizzare il comando cell-management-tool ciphers per riconfigurare l'elenco delle crittografie consentite ed includere tutte le crittografie necessarie per l'utilizzo con i nuovi certificati.
Importante:Poiché la console VMRC richiede l'utilizzo della crittografia AES256-SHA e AES128-SHA, non è possibile escluderla da quella consentita, se i client di VMware Cloud Director utilizzano la console VMRC.
Per gestire l'elenco della crittografia SSL consentita, utilizzare una riga di comando con la seguente struttura:
cell-management-toolciphersoptions
Opzione |
Argomento |
Descrizione |
---|---|---|
--help (-h) |
Nessuno |
Fornisce un riepilogo dei comandi disponibili in questa categoria. |
--all-allowed (-a) |
Nessuno |
Elenca tutte le crittografie supportate da VMware Cloud Director. |
--compatible-reset (-c) (obsoleto) |
Nessuno |
Obsoleto. Utilizzare l'opzione --reset per reimpostare l'elenco predefinito di crittografie consentite. |
--disallow (-d) |
Elenco separato da virgole dei nomi delle crittografie. |
Escludere la crittografia nell'elenco separato da virgole specificato. Ogni volta che si esegue questa opzione, è necessario includere l'elenco completo delle crittografie che si desidera disattivare perché l'esecuzione dell'opzione sovrascrive l'impostazione precedente.
Importante:
Se si esegue l'opzione senza alcun valore, vengono attivate tutte le crittografie. Per visualizzare tutte le crittografie possibili, eseguire l'opzione -a.
Importante:
Dopo aver eseguito ciphers --disallow, è necessario riavviare la cella. |
--list (-l) |
Nessuno |
Elenca il set di crittografie consentite attualmente in uso. |
--reset (-r) |
Nessuno |
Ripristina l'elenco di crittografie consentite predefinito. Se i certificati di questa cella utilizzano crittografie non consentite, non sarà possibile effettuare una connessione SSL alla cella finché non verranno installati nuovi certificati che utilizzano una crittografia consentita.
Importante:
Dopo aver eseguito ciphers --reset, è necessario riavviare la cella. |
Esclusione di due tipi di crittografia
VMware Cloud Director include un elenco preconfigurato di crittografie abilitate.
In questo esempio, viene illustrato come abilitare ulteriori crittografie dall'elenco di crittografie consentite e come non consentire le crittografie che non si desidera utilizzare.
Ottenere l'elenco delle crittografie abilitate per impostazione predefinita.
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ciphers -l
L'output del comando restituisce l'elenco delle crittografie abilitate.
Allowed ciphers: * TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
Ottenere un elenco di tutte le crittografie che la cella può offrire durante un handshake SSL.
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ciphers -a
L'output del comando restituisce l'elenco delle crittografie consentite.
# ./cell-management-tool ciphers -a Product default ciphers: * TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 * TLS_RSA_WITH_AES_256_GCM_SHA384 * TLS_RSA_WITH_AES_128_GCM_SHA256 * TLS_RSA_WITH_AES_256_CBC_SHA256 * TLS_ECDH_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDH_RSA_WITH_AES_128_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA
Specificare le crittografie da disattivare.
Se si esegue il comando e non si disattiva esplicitamente una crittografia, tale crittografia viene attivata.
[root@cell1 /opt/vmware/vcloud-director/bin]#./cell-management-tool ciphers -d TLS_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
Eseguire il comando per controllare l'elenco delle crittografie attivate. Le crittografie che non sono presenti nell'elenco sono disattivate.
root@bos1-vcd-static-211-90 [ /opt/vmware/vcloud-director/bin ]# ./cell-management-tool ciphers -l
L'output restituisce un elenco di tutte le crittografie che sono ora abilitate.
Allowed ciphers: * TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 * TLS_RSA_WITH_AES_256_GCM_SHA384 * TLS_RSA_WITH_AES_128_GCM_SHA256 * TLS_RSA_WITH_AES_256_CBC_SHA256 * TLS_ECDH_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA