셀 관리 도구의 ciphers 명령을 사용하여 SSL 핸드셰이크 프로세스 도중 사용하기 위해 셀이 제공하는 암호화 스위트 집합을 구성합니다.

클라이언트가 vCloud Director 셀에 대한 SSL 연결을 만들면, 셀은 허용 암호화 기본 목록에 구성되어 있는 암호화만 사용하도록 제공합니다. 연결의 보안을 유지할 수 있을 만큼 충분히 강력하지 않거나 SSL 연결 실패에 관련된 것으로 알려진 일부 암호화는 이 목록에 나열되지 않습니다. vCloud Director를 설치하거나 업그레이드할 경우 설치 또는 업그레이드 스크립트를 통해 셀의 인증서가 검사됩니다. 인증서가 허용 암호화 목록에 없는 암호화를 사용하여 암호화된 경우 스크립트는 해당 암호화의 사용을 허용하도록 셀의 구성을 수정하고 경고를 표시합니다. 이러한 암호화의 종속성에도 불구하고 기존 인증서를 계속 사용할 수 있습니다. 또는 다음 단계를 수행하여 인증서를 바꾸고 허용 암호화 목록을 재구성할 수도 있습니다.
  1. 허용되지 않는 암호화를 사용하지 않는 새 인증서를 만듭니다. 허용되는 모든 암호화 나열에 표시된 것처럼 cell-management-tool ciphers -a를 사용하여 기본 구성에서 허용되는 모든 암호화를 나열할 수 있습니다.
  2. cell-management-tool certificates 명령을 사용하여 셀의 기존 인증서를 새 인증서로 바꿉니다.
  3. cell-management-tool ciphers 명령을 사용하여 새 인증서에 사용되지 않는 암호화를 제외하도록 허용 암호화 목록을 재구성합니다. 이러한 암호화를 제외하면 핸드셰이크 도중 제공되는 암호화 개수가 실제 최소한으로 줄어들기 때문에 셀에 대한 SSL 연결을 더 빨리 설정할 수 있습니다.
    중요: VMRC 콘솔에서는 AES256-SHA 및 AES128-SHA 암호화를 사용해야 하기 때문에 vCloud Director 클라이언트에서 VMRC 콘솔을 사용할 경우 AES256-SHA 및 AES128-SHA 암호화를 허용해야 합니다.
허용 SSL 암호화 목록을 관리하려면 다음 형식의 명령줄을 사용하십시오.
cell-management-tool ciphers options
표 1. 셀 관리 도구 옵션과 인수, ciphers 하위 명령
옵션 인수 설명
--help (-h) 없음 이 범주에서 사용할 수 있는 명령에 대한 요약을 보여 줍니다.
--all-allowed (-a) 없음 허용되는 모든 암호화를 나열합니다.
--compatible-reset (-c) 없음 허용 암호화 목록을 기본값으로 재설정하고, 이 셀의 인증서에 사용되는 암호화도 허용합니다.
--disallow (-d) https://www.openssl.org/docs/man1.0.2/man1/ciphers.html에 게시된 것처럼 쉼표로 구분된 암호화 이름 목록입니다. 지정된 목록(쉼표로 구분된 목록)의 암호화를 허용하지 않습니다.
--list (-l) 없음 현재 구성된 암호화를 나열합니다.
--reset (-r) 없음 허용 암호화 목록을 기본값으로 재설정합니다. 이 셀의 인증서에서 허용되지 않는 암호화를 사용할 경우 허용된 암호화를 사용하는 새 인증서를 설치할 때까지 셀에 SSL 연결을 설정할 수 없습니다.

허용되는 모든 암호화 나열

SSL 핸드셰이크 도중 셀이 제공할 수 있도록 현재 허용된 모든 암호화를 나열하려면 --all-allowed(-a) 옵션을 사용합니다.

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ciphers –a 
* TLS_DHE_DSS_WITH_AES_256_CBC_SHA
* TLS_DHE_DSS_WITH_AES_128_CBC_SHA
* TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
* TLS_DHE_RSA_WITH_AES_256_CBC_SHA
* TLS_DHE_RSA_WITH_AES_128_CBC_SHA
* TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
* TLS_RSA_WITH_AES_256_CBC_SHA
* TLS_RSA_WITH_AES_128_CBC_SHA
* TLS_RSA_WITH_3DES_EDE_CBC_SHA
* TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
* TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
* TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
* TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
* TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
* TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA
* TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
* TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
* TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA
* SSL_RSA_WITH_3DES_EDE_CBC_SHA
* SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA

2개 암호화를 허용 안 함

허용 암호화 목록에서 1개 이상의 암호화를 제거하려면 --disallow(-d) 옵션을 사용합니다. 이 옵션에는 1개 이상의 암호화 이름이 필요합니다. 쉼표로 구분된 목록으로 여러 암호화 이름을 제공할 수 있습니다. ciphers –a의 출력에서 이 목록에 대한 이름을 가져올 수 있습니다. 이 예제에서는 이전 예제에 나열된 2개 암호화를 제거합니다.

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ciphers –d SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA