以下で、CDS クライアントの暗号化アジリティ構成について説明します。
現在、DaaS エージェントは、gSoap ライブラリでサポートされているデフォルトの暗号および SSL プロトコルを使用しています。暗号および SSL プロトコルをカスタマイズするためのレジストリ キーは以下のとおりです。
- テナントは、クライアント側で指定された SSL プロトコル/設定をサポートしている必要があります。そうしないと、クライアントはテナントと通信できなくなります。
- エージェントは 32 ビット アプリケーションです。次の説明にあるようにレジストリ パスは、エージェントが 64 ビットマシンにインストールされたときに変更されます。https://msdn.microsoft.com/jp-ja/library/windows/desktop/ms724072(v=vs.85).aspx
ClientSecureProtocols
- キーパス:HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware DaaS Agent\ClientSecureProtocols
- タイプ:文字列
- 値の形式: | で区切られた以下の値の組み合わせ
- SOAP_TLSv1
レジストリにこの値を追加すると、エージェントは次のいずれかのプロトコルを使用してテナント (TLSv1.0、TLSv1.1、または TLSv1.2)と通信します。
- SOAP_SSLv3_TLSv1
レジストリにこの値を追加すると、エージェントは、SSLV3 または TLSv1(v1.0、v1.1、または v1.2)プロトコルのいずれかを使用してテナントと通信します。
- SOAP_SSLv3
レジストリにこの値を追加すると、エージェントはテナントとの通信に SSLV3 プロトコルのみを使用します。
- SOAP_TLSv1_0
レジストリにこの値を追加すると、エージェントは、テナントとの通信に TLS v1.0 プロトコルのみを使用します。
- SOAP_TLSv1_1
レジストリにこの値を追加すると、エージェントは、TLS v1.1 プロトコルのみを使用してテナントと通信できるようになります。
- SOAP_TLSv1_2
この値をレジストリに追加すると、エージェントは TLS v1.2 プロトコルのみを使用してテナントと通信するようになります。
- SOAP_TLSv1
- デフォルト値:SOAP_TLSv1_1|SOAP_TLSv1_2
エージェントが、テナントとの通信に TLSV1.1 または TLSV1.2 プロトコルのいずれかを使用することを示します。
ClientCipherSuites
- キーパス: HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware DaaS Agent\ClientCipherSuites
- タイプ:文字列
- 値の形式: https://www.openssl.org/docs/manmaster/ssl/ciphers.html または http://openssl.cs.utah.edu/docs/apps/ciphers.html を確認してください
- デフォルト値:!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES
ClientAuthenticationSettings
- キーパス:HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware DaaS Agent\ClientAuthenticationSettings
- タイプ:文字列
- 値の形式: | で区切られた以下の値の組み合わせ
- SOAP_SSL_REQUIRE_SERVER_AUTHENTICATION
このキーを値に追加するには、サーバがクライアントに対して認証される必要があります。
注: この構成のみがテストされています。 - SOAP_SSL_SKIP_HOST_CHECK
このキーを値に追加すると、証明書内のホストの共通名の確認が無効になります。
- SOAP_SSL_ALLOW_EXPIRED_CERTIFICATE
このキーを値に追加すると、証明書の有効期限の確認が無効になり、CRL(証明書失効リスト)のチェックが省略されます。
- SOAP_SSL_NO_DEFAULT_CA_PATH
このキーを値に追加すると、default_verify_paths (OpenSSL) が無効になります。
- SOAP_SSL_RSA
このキーを値に追加すると、エージェントは RSA を使用してテナントで認証されます。
- SOAP_SSL_REQUIRE_SERVER_AUTHENTICATION
- デフォルト値:SOAP_SSL_REQUIRE_SERVER_AUTHENTICATION
CipherSuites
- キーパス:HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware VDM\Agent\Configuration\SSL\CipherSuites
- タイプ:文字列
- 値の形式:コロン区切りの複数の暗号を指定します。
ProtocolsNotToBeDisabled
- キーパス:HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware VDM\Agent\Configuration\SSL\ ProtocolsNotToBeDisabled
- タイプ:DWORD(32 ビット)
- 値の形式:
- TLSv1 以降を有効にするには、16 進数の値として 04000000 を指定します。
- TLSv1_1 以上を有効にするには、16 進数の値として 10000000 を指定します。
- TLSv1_2 以降を有効にするには、16 進数の値として 08000000 を指定します(これは現在のデフォルトです)。