SSL 핸드셰이크 프로세스 중에 사용하도록 셀이 제공하는 SSL 프로토콜 집합을 구성하려면 셀 관리 도구의 ssl-protocols 명령을 사용합니다.

클라이언트가 VMware Cloud Director 셀에 대한 SSL 연결을 만들면, 셀은 허용된 SSL 프로토콜 목록에 구성되어 있는 프로토콜만 사용하도록 제공합니다. TLSv1은 심각한 보안 취약점이 있는 것으로 알려져 있기 때문에 기본 목록에 없습니다.

프로시저

  1. VMware Cloud Director 셀의 OS에 root로 직접 로그인하거나 SSH 클라이언트를 사용하여 로그인합니다.
  2. 허용되는 SSL 프로토콜 목록을 관리하는 명령을 실행합니다.
    cell-management-tool ssl-protocols options
    표 1. 셀 관리 도구 옵션과 인수, ssl-protocols 하위 명령
    옵션 인수 설명
    --help (-h) 없음 이 범주에서 사용할 수 있는 명령에 대한 요약을 보여 줍니다.
    --all-allowed (-a) 없음 VMware Cloud Director가 지원하는 모든 SSL 프로토콜을 나열합니다.
    --disallow (-d) 쉼표로 구분된 SSL 프로토콜 이름의 목록입니다. 허용되지 않는 SSL 프로토콜의 목록을 목록에 지정된 프로토콜로 재구성합니다. 이 옵션을 실행할 때마다 비활성화하려는 SSL 프로토콜의 전체 목록을 포함해야 합니다. 옵션을 실행하면 이전 설정을 덮어쓰기 때문입니다.
    중요: 값 없이 옵션을 실행하면 모든 SSL 프로토콜이 활성화됩니다.
    가능한 모든 SSL 프로토콜을 보려면 -a 옵션을 실행합니다.
    중요: ssl-protocols --disallow를 실행한 후 셀을 다시 시작해야 합니다.
    --list (-l) 없음 현재 사용 중인 허용된 SSL 프로토콜 집합을 나열합니다.
    --reset (-r) 없음 구성된 SSL 프로토콜의 목록을 공장 기본값으로 재설정합니다.
    중요: ssl-protocols --reset을 실행한 후 셀을 다시 시작해야 합니다.

예: 허용 및 구성된 SSL 프로토콜 나열 및 허용되지 않는 SSL 프로토콜 목록 재구성

SSL 핸드셰이크 도중 셀이 제공할 수 있는 모든 SSL 프로토콜을 나열하려면 --all-allowed(-a) 옵션을 사용합니다.

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -a
Product default SSL protocols:

    * TLSv1.2
    * TLSv1.1
    * TLSv1

이 목록은 일반적으로 셀이 지원하도록 구성된 SSL 프로토콜의 상위 집합입니다. 해당 SSL 프로토콜을 나열하려면 --list (-l) 옵션을 사용하십시오.

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -l
Allowed SSL protocols:

    * TLSv1.2
    * TLSv1.1

허용되지 않는 SSL 프로토콜 목록을 재구성하려면 --disallow(-d) 옵션을 사용합니다. 이 옵션에는 ssl-protocols –a에 의해 생성된 쉼표로 구분된 허용 프로토콜의 하위 집합 목록이 필요합니다.

이 예에서는 TLSv1을 포함하도록 허용되지 않는 SSL 프로토콜 목록을 업데이트합니다. 5.5 업데이트 3e 이전의 vCenter Server 릴리스에는 TLSv1이 필요합니다.
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -d TLSv1
이 명령을 실행한 후에는 셀을 다시 시작해야 합니다.