SSL ハンドシェイク プロセス中にセルが使用を提案する SSL プロトコルのセットを構成するには、セル管理ツールの ssl-protocols コマンドを使用します。

クライアントが vCloud Director セルとの SSL 接続を確立すると、セルは許可された SSL プロトコルのリスト上で構成されたプロトコルのみを使用するよう提案します。TLSv1、SSLv3、SSLv2Hello などのプロトコルには重大なセキュリティ上の脆弱性があることがわかっているため、デフォルトのリストには含まれていません。

許可されている SSL プロトコルのリストを管理するには、次の形式のコマンド ラインを使用します。
cell-management-toolssl-protocolsoptions
表 1. セル管理ツールのオプションと引数、ssl-protocols サブコマンド
オプション 引数 説明
--help (-h) なし このカテゴリで使用可能なコマンドの概要を示します。
--all-allowed (-a) なし vCloud Director がサポートできるすべての SSL プロトコルをリストします。
--disallow (-d) SSL プロトコル名のコンマ区切りのリスト 許可されない SSL プロトコルのリストを、リスト内で指定されたプロトコルに再構成します。
--list (-l) なし vCloud Director が現在サポートするように構成されている、許可された SSL プロトコルのセットをリストします。
--reset (-r) なし 構成された SSL プロトコルのリストを出荷時のデフォルトにリセットします。
重要: ssl-protocols --disallow または ssl-protocols reset を実行した後は、セルを再起動する必要があります。

許可され構成された SSL プロトコルの一覧表示

--all-allowed (-a) オプションを使用すると、このセルが SSL ハンドシェイク中に提供することが許可されている SSL プロトコルがすべて一覧表示されます。

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -a
Product default SSL protocols:

    * TLSv1.2
    * TLSv1.1
    * TLSv1
    * SSLv3
    * SSLv2Hello

このリストは通常、セルがサポートするように構成された SSL プロトコルのスーパーセットです。これらの SSL プロトコルを一覧表示するには、--list (-l) オプションを使用します。

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -l
Allowed SSL protocols:

    * TLSv1.2
    * TLSv1.1

許可されない SSL プロトコルのリストの再構成

--disallow (-d) オプションを使用すると、許可されない SSL プロトコルのリストが再構成されます。このオプションを使用するには、ssl-protocols –a によって生成された許可されるプロトコルのサブセットのコンマ区切りのリストが必要です。

この例では、許可される SSL プロトコルのリストを更新し、TLSv1 が含まれるようにしています。5.5 Update 3e より前の VMware® vCenter™ リリースには TLSv1 が必要です。
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -d SSLv3,SSLv2Hello
このコマンドを実行した後は、セルを再起動する必要があります。