SSL ハンドシェイク プロセス中に使用するためにセルが提供する暗号化スイートのセットを構成するには、セル管理ツールの ciphers コマンドを使用します。

クライアントが vCloud Director セルとの SSL 接続を確立すると、セルはデフォルトの許可暗号リスト上で構成された暗号のみを使用するよう提案します。接続を保護する十分な強度がないか、あるいは SSL 接続障害の原因となることがわかっているために、このリストに含まれていない暗号があります。 vCloud Director をインストールまたはアップグレードすると、インストールまたはアップグレードのスクリプトがセルの証明書を調べます。いずれかの証明書が許可暗号リストに含まれていない暗号を使用して暗号化されている場合、スクリプトはセルの構成を変更してこの暗号の使用を許可し、警告を表示します。これらの暗号を利用しながら既存の証明書を引き続き使用することも、次の手順を実行して証明書を置き換え、許可暗号リストを再構成することもできます。
  1. 禁止されたどの暗号も使用しない新しい証明書を作成します。許可されているすべての暗号の一覧表示に示された cell-management-tool ciphers -a を使用して、デフォルト構成で許可されている暗号をすべて一覧表示することができます。
  2. cell-management-tool certificates コマンドを使用すると、セルの既存の証明書が新しい証明書で置き換えられます。
  3. cell-management-tool ciphers コマンドを使用すると、許可暗号リストを再構成して、新しい証明書で使用されない暗号を除外することができます。これらの暗号を除外すると、ハンドシェイク中に提供される暗号数が実用的な最小数まで減るため、セルとの SSL 接続を確立するまでの時間が短縮されます。
    重要: VMRC コンソールでは AES256-SHA および AES128-SHA 暗号を使用する必要があるため、 vCloud Director クライアントで VMRC コンソールを使用する場合は、これらを禁止できません。
許可されている SSL 暗号のリストを管理するには、次の形式のコマンド ラインを使用します。
cell-management-toolciphersoptions
表 1. セル管理ツールのオプションと引数、ciphers サブコマンド
オプション 引数 説明
--help (-h) なし このカテゴリで使用可能なコマンドの概要を示します。
--all-allowed (-a) なし 許可されているすべての暗号を一覧表示します。
--compatible-reset (-c) なし デフォルトの許可暗号リストにリセットし、さらにこのセルの証明書で使用される暗号を許可します。
--disallow (-d) http://www.openssl.org/docs/apps/ciphers.html で公開されている、暗号名のカンマ区切りリスト 指定されたカンマ区切りリストで暗号を禁止します。
--list (-l) なし 現在構成されている暗号を一覧表示します。
--reset (-r) なし デフォルトの許可暗号リストにリセットします。このセルの証明書で禁止された暗号が使用されている場合は、許可された暗号を使用する新しい証明書をインストールするまで、このセルとの SSL 接続は確立できません。

許可されているすべての暗号の一覧表示

--all-allowed (-a) オプションを使用すると、このセルが SSL ハンドシェイク中に提供することが許可されている暗号がすべて一覧表示されます。

        [root@cell1 /opt/vmware/vcloud-director/bin]#
        ./cell-management-tool ciphers –a 
        * TLS_DHE_DSS_WITH_AES_256_CBC_SHA * TLS_DHE_DSS_WITH_AES_128_CBC_SHA * TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA * TLS_DHE_RSA_WITH_AES_256_CBC_SHA * TLS_DHE_RSA_WITH_AES_128_CBC_SHA * TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA * TLS_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA * TLS_RSA_WITH_3DES_EDE_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA * TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA * TLS_ECDH_RSA_WITH_AES_256_CBC_SHA * TLS_ECDH_RSA_WITH_AES_128_CBC_SHA * TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA * SSL_RSA_WITH_3DES_EDE_CBC_SHA * SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
      

2 つの暗号の禁止

許可暗号リストから 1 つ以上の暗号を削除するには、--disallow (-d) オプションを使用します。このオプションには 1 つ以上の暗号名を指定する必要があります。 カンマ区切りリストでは、複数の暗号名を指定できます。ciphers –a の出力からこのリストの名前を取得できます。次の例では、前の例で一覧表示された 2 つの暗号を削除します。

        [root@cell1 /opt/vmware/vcloud-director/bin]#
        ./cell-management-tool ciphers –d SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA