Utilizzare il comando ciphers dello strumento di gestione delle celle per configurare il set di pacchetti di crittografia messo a disposizione dalla cella, da utilizzare durante il processo di handshake SSL.

Quando un client effettua una connessione SSL a una cella vCloud Director, la cella mette a disposizione solo la crittografia configurata nell'elenco crittografia consentita predefinito. Diversi set di crittografia non sono inclusi nell'elenco in quanto potrebbero non essere abbastanza forti da proteggere la connessione oppure sono noti per determinare errori di connessione SSL. Quando si installa o si aggiorna vCloud Director, lo script di installazione o di aggiornamento esamina i certificati della cella. Se uno qualsiasi dei certificati è crittografato con una crittografia non inclusa nell'elenco della crittografia consentita, lo script modifica la configurazione della cella in modo da permettere l'uso di quella crittografia e visualizza un avviso. È possibile continuare a utilizzare i certificati esistenti nonostante dipendano da questa crittografia oppure si possono attuare i seguenti passaggi per sostituire i certificati e riconfigurare l'elenco della crittografia consentita:
  1. Creare nuovi certificati che non utilizzano la crittografia non consentita. È possibile utilizzare cell-management-tool ciphers -a, come mostrato in Elencare tutta la crittografia consentita per elencare tutta la crittografia consentita nella configurazione predefinita.
  2. Utilizzare il comando cell-management-tool certificates per sostituire i certificati esistenti della cella con quelli nuovi.
  3. Utilizzare il comando cell-management-tool ciphers per riconfigurare l'elenco della crittografia consentita, per escludere la crittografia non utilizzata dai nuovi certificati. Escludendo questa crittografia, sarà più veloce stabilire una connessione SSL alla cella, poiché la crittografia disponibile durante l'handshake è ridotta al minimo.
    Importante: Poiché la console VMRC richiede l'utilizzo della crittografia AES256-SHA e AES128-SHA, non è possibile escluderla da quella consentita, se i client di vCloud Director utilizzano la console VMRC.
Per gestire l'elenco della crittografia SSL consentita, utilizzare una riga di comando con la seguente struttura:
cell-management-toolciphersoptions
Tabella 1. Opzioni e argomenti dello strumento di gestione delle celle, sottocomando ciphers
Opzione Argomento Descrizione
--help (-h) Nessuno Fornisce un riepilogo dei comandi disponibili in questa categoria.
--all-allowed (-a) Nessuno Elencare tutta la crittografia consentita.
--compatible-reset (-c) Nessuno Ripristinare sui valori predefiniti l'elenco della crittografia consentita, inoltre, ammettere la crittografia utilizzata dai certificati di questa cella.
--disallow (-d) Elenco separato da virgole dei nomi di crittografia, come pubblicato all'indirizzo http://www.openssl.org/docs/apps/ciphers.html Escludere la crittografia nell'elenco separato da virgole specificato.
--list (-l) Nessuno Elencare la crittografia attualmente configurata.
--reset (-r) Nessuno Ripristinare sui valori predefiniti l'elenco della crittografia consentita. Se i certificati di questa cella utilizzando la crittografia non consentita, non sarà possibile effettuare una connessione SSL alla cella finché non vengono installati nuovi certificati che utilizzando una crittografia consentita.

Elencare tutta la crittografia consentita

Utilizzare l'opzione --all-allowed (-a) per elencare tutta la crittografia che la cella può mettere a disposizione durante un handshake SSL.

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ciphers –a 
* TLS_DHE_DSS_WITH_AES_256_CBC_SHA
* TLS_DHE_DSS_WITH_AES_128_CBC_SHA
* TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
* TLS_DHE_RSA_WITH_AES_256_CBC_SHA
* TLS_DHE_RSA_WITH_AES_128_CBC_SHA
* TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
* TLS_RSA_WITH_AES_256_CBC_SHA
* TLS_RSA_WITH_AES_128_CBC_SHA
* TLS_RSA_WITH_3DES_EDE_CBC_SHA
* TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
* TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
* TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
* TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
* TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
* TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA
* TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
* TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
* TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA
* SSL_RSA_WITH_3DES_EDE_CBC_SHA
* SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA

Esclusione di due tipi di crittografia

Utilizzare l'opzione --disallow (-d) per rimuovere uno o più tipi di crittografia dall'elenco della crittografia consentita. Quest'opzione richiede almeno un nome di crittografia. È possibile fornire più nomi di crittografia in un elenco separato da virgole. È possibile ottenere i nomi per questo elenco dall'output di ciphers –a. In questo esempio vengono rimossi due tipi di crittografia elencati nell'esempio precedente.

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ciphers –d SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA