セルが提供する SSL プロトコルのセットの中から SSL ハンドシェイク プロセスで使用するものを構成するには、セル管理ツールの ssl-protocols コマンドを使用します。

クライアントが VMware Cloud Director セルとの SSL 接続を確立すると、セルは許可された SSL プロトコルのリスト上で構成されたプロトコルのみを使用するよう提案します。TLSv1 にはセキュリティに関する重大な脆弱性があることが判明しているため、デフォルトのリストには含まれていません。

手順

  1. VMware Cloud Director セルの OS に root として直接ログインするか、SSH クライアントを使用して接続します。
  2. 次のコマンドを実行して、許可された SSL プロトコルのリストを管理します。
    cell-management-tool ssl-protocols options
    表 1. セル管理ツールのオプションと引数、ssl-protocols サブコマンド
    オプション 引数 説明
    --help (-h) なし このカテゴリで使用可能なコマンドの概要を示します。
    --all-allowed (-a) なし VMware Cloud Director でサポートされるすべての SSL プロトコルを一覧表示します。
    --disallow (-d) SSL プロトコル名のコンマ区切りのリスト 許可されない SSL プロトコルのリストを、リスト内で指定されたプロトコルに再構成します。このオプションを実行すると前の設定が上書きされるため、このオプションを実行するたびに、無効にする SSL プロトコルの完全なリストを含める必要があります。
    重要: 値を指定せずにオプションを実行すると、すべての SSL プロトコルが有効になります。
    使用可能なすべての SSL プロトコルを表示するには、-a オプションを指定して実行します。
    重要: ssl-protocols --disallow を実行した後に、セルを再起動する必要があります。
    --list (-l) なし 現在使用している許可された SSL プロトコル セットを一覧表示します。
    --reset (-r) なし 構成された SSL プロトコルのリストを出荷時のデフォルトにリセットします。
    重要: ssl-protocols --reset を実行した後に、セルを再起動する必要があります。

例: 許可された SSL プロトコルと構成された SSL プロトコルの一覧表示、および許可されていない SSL プロトコルのリストの再構成

--all-allowed (-a) オプションを使用すると、このセルが SSL ハンドシェイク中に提供することが許可されている SSL プロトコルがすべて一覧表示されます。

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -a
Product default SSL protocols:

    * TLSv1.2
    * TLSv1.1
    * TLSv1

このリストは通常、セルがサポートするように構成された SSL プロトコルのスーパーセットです。これらの SSL プロトコルを一覧表示するには、--list (-l) オプションを使用します。

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -l
Allowed SSL protocols:

    * TLSv1.2
    * TLSv1.1

許可されていない SSL プロトコルのリストを再構成するには、--disallow (-d) オプションを使用します。このオプションを使用するには、ssl-protocols –a によって生成された許可されるプロトコルのサブセットのコンマ区切りのリストが必要です。

この例では、禁止されている SSL プロトコルのリストを更新し、TLSv1 が含まれるようにしています。5.5 Update 3e より前の vCenter Server リリースには TLSv1 が必要です。
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -d TLSv1
このコマンドを実行した後に、セルを再起動する必要があります。