SSL ハンドシェイク プロセス中に使用するためにセルが提供する暗号化スイートのセットを構成するには、セル管理ツールの ciphers コマンドを使用します。
ciphers コマンドは、VMware Cloud Director が HTTPS 通信に使用する証明書にのみ適用され、VMware Cloud Director アプライアンスがアプライアンス管理ユーザー インターフェイスおよび API に使用する証明書には適用されません。
クライアントが VMware Cloud Director セルとの SSL 接続を確立すると、セルはデフォルトの許可暗号リスト上で構成された暗号のみを使用するよう提案します。接続を保護する十分な強度がないか、あるいは SSL 接続障害の原因となることがわかっているために、このリストに含まれていない暗号があります。
VMware Cloud Director をインストールまたはアップグレードすると、インストールまたはアップグレードのスクリプトがセルの証明書を調べます。許可暗号リストに含まれていない暗号を使用して暗号化された証明書がある場合、インストールまたはアップグレードは失敗します。次の手順を実行して証明書を置き換えて、許可暗号リストを再構成できます。
禁止された暗号をいずれも使用しない証明書を作成します。以下の例に示された cell-management-tool ciphers -a を使用して、デフォルト構成で許可されている暗号をすべて一覧表示することができます。
cell-management-tool certificates コマンドを使用すると、セルの既存の証明書が新しい証明書で置き換えられます。
cell-management-tool ciphers コマンドを使用すると、許可暗号リストを再構成して、新しい証明書で使用するために必要なすべての暗号を含めることができます。
重要:VMRC コンソールでは AES256-SHA および AES128-SHA 暗号を使用する必要があるため、VMware Cloud Director クライアントで VMRC コンソールを使用する場合は、これらを禁止できません。
許可されている SSL 暗号のリストを管理するには、次の形式のコマンド ラインを使用します。
cell-management-toolciphersoptions
オプション |
引数 |
説明 |
|---|---|---|
--help (-h) |
なし |
このカテゴリで使用可能なコマンドの概要を示します。 |
--all-allowed (-a) |
なし |
VMware Cloud Director でサポートされているすべての暗号を一覧表示します。 |
--compatible-reset (-c)(廃止) |
なし |
廃止されました。--reset オプションを使用して、デフォルトの許可暗号リストにリセットします。 |
--disallow (-d) |
暗号名のカンマ区切りのリスト |
指定されたカンマ区切りリストで暗号を禁止します。このオプションを実行すると前の設定が上書きされるため、このオプションを実行するたびに、無効にする暗号の完全なリストを含める必要があります。
重要:
値を指定せずにオプションを実行すると、すべての暗号が有効になります。 使用可能なすべての暗号を表示するには、-a オプションを指定して実行します。
重要:
ciphers --disallow を実行した後に、セルを再起動する必要があります。 |
--list (-l) |
なし |
現在使用している許可された暗号セットを一覧表示します。 |
--reset (-r) |
なし |
デフォルトの許可暗号リストにリセットします。このセルの証明書で禁止された暗号が使用されている場合は、許可された暗号を使用する新しい証明書をインストールするまで、このセルとの SSL 接続は確立できません。
重要:
ciphers --reset を実行した後に、セルを再起動する必要があります。 |
2 つの暗号の禁止
VMware Cloud Director には、事前設定された有効な暗号のリストが含まれています。
この例では、許可暗号リストから追加の暗号を有効にする方法、および使用しない暗号を禁止する方法を示します。
デフォルトで有効になっている暗号のリストを取得します。
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ciphers -l
このコマンドの出力では有効な暗号のリストが返されます。
Allowed ciphers: * TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
SSL ハンドシェイク中にセルが提供できるすべての暗号のリストを取得します。
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ciphers -a
このコマンドの出力では許可暗号リストが返されます。
# ./cell-management-tool ciphers -a Product default ciphers: * TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 * TLS_RSA_WITH_AES_256_GCM_SHA384 * TLS_RSA_WITH_AES_128_GCM_SHA256 * TLS_RSA_WITH_AES_256_CBC_SHA256 * TLS_ECDH_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDH_RSA_WITH_AES_128_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA
無効にする暗号を指定します。
このコマンドを実行して暗号を明示的に無効にしない場合は、暗号が有効になります。
[root@cell1 /opt/vmware/vcloud-director/bin]#./cell-management-tool ciphers -d TLS_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
コマンドを実行して、有効な暗号のリストを確認します。リストにない暗号は無効です。
root@bos1-vcd-static-211-90 [ /opt/vmware/vcloud-director/bin ]# ./cell-management-tool ciphers -l
この出力では、現在有効になっているすべての暗号のリストが返されます。
Allowed ciphers: * TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 * TLS_RSA_WITH_AES_256_GCM_SHA384 * TLS_RSA_WITH_AES_128_GCM_SHA256 * TLS_RSA_WITH_AES_256_CBC_SHA256 * TLS_ECDH_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
