VMware Cloud Director 셀 관리 도구의 ciphers 명령을 사용하여 SSL 핸드셰이크 프로세스 도중 사용하기 위해 셀이 제공하는 암호화 그룹 집합을 구성합니다.

참고:

ciphers 명령은 VMware Cloud Director 장치가 해당 장치 관리 사용자 인터페이스 및 API에 사용하는 인증서가 아니라 VMware Cloud Director가 HTTPS 통신에 사용하는 인증서에만 적용됩니다.

클라이언트가 VMware Cloud Director 셀에 대한 SSL 연결을 만들면, 셀은 허용 암호화 기본 목록에 구성되어 있는 암호화만 사용하도록 제공합니다. 연결의 보안을 유지할 수 있을 만큼 충분히 강력하지 않거나 SSL 연결 실패에 관련된 것으로 알려진 일부 암호화는 이 목록에 나열되지 않습니다.

VMware Cloud Director를 설치하거나 업그레이드할 경우 설치 또는 업그레이드 스크립트를 통해 셀의 인증서가 검사됩니다. 허용된 암호 목록에 없는 암호를 사용하여 암호화된 인증서가 있으면 설치 또는 업그레이드가 실패합니다. 다음 단계를 수행하여 인증서를 교체하고 허용된 암호 목록을 재구성할 수 있습니다.

  1. 허용되지 않는 암호를 사용하지 않는 인증서를 만듭니다. 아래 예제에 나와 있는 것처럼 cell-management-tool ciphers -a를 사용하여 기본 구성에서 허용되는 모든 암호화를 나열할 수 있습니다.

  2. 셀의 기존 인증서를 새 인증서로 교체합니다. VMware Cloud Director 장치의 인증서 관리의 내용을 참조하십시오.

  3. cell-management-tool ciphers 명령을 사용하여 허용된 암호 목록을 재구성하고 새 인증서와 함께 사용하는 데 필요한 모든 암호를 포함합니다.

    중요:

    VMRC 콘솔에서는 AES256-SHA 및 AES128-SHA 암호화를 사용해야 하기 때문에 VMware Cloud Director 클라이언트에서 VMRC 콘솔을 사용할 경우 AES256-SHA 및 AES128-SHA 암호화를 허용해야 합니다.

허용 SSL 암호화 목록을 관리하려면 다음 형식의 명령줄을 사용하십시오.

cell-management-tool ciphers options
표 1. 셀 관리 도구 옵션과 인수, ciphers 하위 명령

옵션

인수

설명

--help (-h)

없음

이 범주에서 사용할 수 있는 명령에 대한 요약을 보여 줍니다.

--all-allowed (-a)

없음

VMware Cloud Director가 지원하는 모든 암호를 나열합니다.

--compatible-reset (-c)(폐기됨)

없음

더 이상 사용되지 않습니다. 허용된 암호의 기본 목록으로 재설정하려면 --reset 옵션을 사용합니다.

--disallow (-d)

쉼표로 구분된 암호화 이름 목록입니다.

지정된 목록(쉼표로 구분된 목록)의 암호화를 허용하지 않습니다. 이 옵션을 실행할 때마다 비활성화하려는 전체 암호화 목록을 포함해야 합니다. 옵션을 실행하면 이전 설정을 덮어쓰기 때문입니다.

중요:

값 없이 옵션을 실행하면 모든 암호가 활성화됩니다.

가능한 모든 암호를 보려면 -a 옵션을 실행합니다.

중요:

ciphers --disallow를 실행한 후 셀을 다시 시작해야 합니다.

--list (-l)

없음

현재 사용 중인 허용된 암호 집합을 나열합니다.

--reset (-r)

없음

허용된 암호의 기본 목록으로 재설정합니다. 이 셀의 인증서에 허용되지 않는 암호를 사용할 경우, 허용된 암호를 사용하는 새 인증서를 설치할 때까지 셀에 SSL 연결을 설정할 수 없습니다.

중요:

ciphers --reset을 실행한 후 셀을 다시 시작해야 합니다.

2개 암호화를 허용 안 함

VMware Cloud Director에는 사용하도록 설정된 암호의 미리 구성된 목록이 포함되어 있습니다.

이 예에서는 허용된 암호 목록에서 추가 암호를 사용하도록 설정하는 방법과 사용하지 않으려는 암호를 허용하지 않는 방법을 설명합니다.

  1. 기본적으로 사용하도록 설정된 암호 목록을 가져옵니다.

    [root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ciphers -l

    명령의 출력은 사용하도록 설정된 암호 목록을 반환합니다.

    Allowed ciphers:
    * TLS_AES_256_GCM_SHA384
    * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  2. SSL 핸드셰이크 중에 셀이 제공할 수 있는 모든 암호 목록을 가져옵니다.

    [root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ciphers -a

    명령의 출력은 허용된 암호 목록을 반환합니다.

    Product default ciphers: 
    * TLS_AES_256_GCM_SHA384
    * TLS_AES_128_GCM_SHA256
    * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    * TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    * TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
    * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
    * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
    * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
    * TLS_RSA_WITH_AES_256_GCM_SHA384
    * TLS_RSA_WITH_AES_128_GCM_SHA256
    * TLS_RSA_WITH_AES_256_CBC_SHA256
    * TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
    * TLS_RSA_WITH_AES_256_CBC_SHA
    * TLS_RSA_WITH_AES_128_CBC_SHA256
    * TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
    * TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
    * TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
    * TLS_RSA_WITH_AES_128_CBC_SHA
  3. 비활성화할 암호를 지정합니다.

    명령을 실행하며 암호를 명시적으로 비활성화하지 않으면 해당 암호는 활성화됩니다.

    [root@cell1 /opt/vmware/vcloud-director/bin]#./cell-management-tool ciphers -d TLS_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
  4. 명령을 실행하여 활성화된 암호 목록을 확인합니다. 목록에 없는 암호는 비활성화됩니다.

    root@bos1-vcd-static-211-90 [ /opt/vmware/vcloud-director/bin ]# ./cell-management-tool ciphers -l

    이제 사용하도록 설정된 모든 암호 목록이 출력에 반환됩니다.

    Allowed ciphers: 
    * TLS_AES_256_GCM_SHA384
    * TLS_AES_128_GCM_SHA256
    * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    * TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    * TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
    * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
    * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
    * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
    * TLS_RSA_WITH_AES_256_GCM_SHA384
    * TLS_RSA_WITH_AES_128_GCM_SHA256
    * TLS_RSA_WITH_AES_256_CBC_SHA256
    * TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
    * TLS_RSA_WITH_AES_256_CBC_SHA
    * TLS_RSA_WITH_AES_128_CBC_SHA256
    * TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
    * TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA