以下で、CDS クライアントの暗号化アジリティ構成について説明します。

現在、DaaS エージェントは、gSoap ライブラリでサポートされているデフォルトの暗号および SSL プロトコルを使用しています。暗号および SSL プロトコルをカスタマイズするためのレジストリ キーは以下のとおりです。

次の点に注意してください。
  • テナントは、クライアント側で指定された SSL プロトコル/設定をサポートしている必要があります。そうしないと、クライアントはテナントと通信できなくなります。
  • エージェントは 32 ビット アプリケーションです。次の説明にあるようにレジストリ パスは、エージェントが 64 ビットマシンにインストールされたときに変更されます。https://msdn.microsoft.com/jp-ja/library/windows/desktop/ms724072(v=vs.85).aspx

ClientSecureProtocols

  • キーパス:HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware DaaS Agent\ClientSecureProtocols
  • タイプ:文字列
  • 値の形式: | で区切られた以下の値の組み合わせ
    • SOAP_TLSv1

      レジストリにこの値を追加すると、エージェントは次のいずれかのプロトコルを使用してテナント (TLSv1.0、TLSv1.1、または TLSv1.2)と通信します。

    • SOAP_SSLv3_TLSv1

      レジストリにこの値を追加すると、エージェントは、SSLV3 または TLSv1(v1.0、v1.1、または v1.2)プロトコルのいずれかを使用してテナントと通信します。

    • SOAP_SSLv3

      レジストリにこの値を追加すると、エージェントはテナントとの通信に SSLV3 プロトコルのみを使用します。

    • SOAP_TLSv1_0

      レジストリにこの値を追加すると、エージェントは、テナントとの通信に TLS v1.0 プロトコルのみを使用します。

    • SOAP_TLSv1_1

      レジストリにこの値を追加すると、エージェントは、TLS v1.1 プロトコルのみを使用してテナントと通信できるようになります。

    • SOAP_TLSv1_2

      この値をレジストリに追加すると、エージェントは TLS v1.2 プロトコルのみを使用してテナントと通信するようになります。

  • デフォルト値:SOAP_TLSv1_1|SOAP_TLSv1_2

    エージェントが、テナントとの通信に TLSV1.1 または TLSV1.2 プロトコルのいずれかを使用することを示します。

ClientCipherSuites

ClientAuthenticationSettings

  • キーパス:HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware DaaS Agent\ClientAuthenticationSettings
  • タイプ:文字列
  • 値の形式: | で区切られた以下の値の組み合わせ
    • SOAP_SSL_REQUIRE_SERVER_AUTHENTICATION

      このキーを値に追加するには、サーバがクライアントに対して認証される必要があります。

      注: この構成のみがテストされています。
    • SOAP_SSL_SKIP_HOST_CHECK

      このキーを値に追加すると、証明書内のホストの共通名の確認が無効になります。

    • SOAP_SSL_ALLOW_EXPIRED_CERTIFICATE

      このキーを値に追加すると、証明書の有効期限の確認が無効になり、CRL(証明書失効リスト)のチェックが省略されます。

    • SOAP_SSL_NO_DEFAULT_CA_PATH

      このキーを値に追加すると、default_verify_paths (OpenSSL) が無効になります。

    • SOAP_SSL_RSA

      このキーを値に追加すると、エージェントは RSA を使用してテナントで認証されます。

  • デフォルト値:SOAP_SSL_REQUIRE_SERVER_AUTHENTICATION

CipherSuites

  • キーパス:HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware VDM\Agent\Configuration\SSL\CipherSuites
  • タイプ:文字列
  • 値の形式:コロン区切りの複数の暗号を指定します。

ProtocolsNotToBeDisabled

  • キーパス:HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware VDM\Agent\Configuration\SSL\ ProtocolsNotToBeDisabled
  • タイプ:DWORD(32 ビット)
  • 値の形式:
    • TLSv1 以降を有効にするには、16 進数の値として 04000000 を指定します。
    • TLSv1_1 以上を有効にするには、16 進数の値として 10000000 を指定します。
    • TLSv1_2 以降を有効にするには、16 進数の値として 08000000 を指定します(これは現在のデフォルトです)。