セルが提供する SSL プロトコルのセットの中から SSL ハンドシェイク プロセスで使用するものを構成するには、セル管理ツールの ssl-protocols コマンドを使用します。
クライアントが VMware Cloud Director セルとの SSL 接続を確立すると、セルは許可された SSL プロトコルのリスト上で構成されたプロトコルのみを使用するよう提案します。TLSv1 にはセキュリティに関する重大な脆弱性があることが判明しているため、デフォルトのリストには含まれていません。VMware Cloud Director 10.4 以降で TLS 1.0 または TLS 1.1 を有効にする方法の詳細については、ナレッジベースの記事KB88929を参照してください。
手順
例: 許可された SSL プロトコルと構成された SSL プロトコルの一覧表示、および許可されていない SSL プロトコルのリストの再構成
--all-allowed (-a) オプションを使用すると、このセルが SSL ハンドシェイク中に提供することが許可されている SSL プロトコルがすべて一覧表示されます。
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -a
Product default SSL protocols:
* TLSv1.2
* TLSv1.1
* TLSv1
このリストは通常、セルがサポートするように構成された SSL プロトコルのスーパーセットです。これらの SSL プロトコルを一覧表示するには、--list (-l) オプションを使用します。
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -l
Allowed SSL protocols:
* TLSv1.2
* TLSv1.1
許可されていない SSL プロトコルのリストを再構成するには、--disallow (-d) オプションを使用します。このオプションを使用するには、ssl-protocols –a によって生成された許可されるプロトコルのサブセットのコンマ区切りのリストが必要です。
この例では、禁止されている SSL プロトコルのリストを更新し、TLSv1 が含まれるようにしています。5.5 Update 3e より前の
vCenter Server リリースには TLSv1 が必要です。
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -d TLSv1このコマンドを実行した後に、セルを再起動する必要があります。
