使用儲存格管理工具的 ciphers 命令,設定儲存格提供的密碼套件集,以便在 SSL 信號交換期間使用。
備註:
ciphers 命令僅適用於
VMware Cloud Director 用於 HTTPS 和主控台 Proxy 通訊的一組憑證,而不適用於
VMware Cloud Director 應用裝置用於其應用裝置管理使用者介面和 API 的憑證。
用戶端透過 SSL 連線至 VMware Cloud Director 儲存格時,儲存格只會提供已在其允許的密碼預設清單上設定的密碼。某些密碼不在此清單上,或許是因為這些密碼強度不足以保護連線的安全,或許是因為這些密碼會導致 SSL 連線失敗。
安裝或升級
VMware Cloud Director 時,安裝或升級指令碼會檢查儲存格的憑證。如果有任何憑證使用不在允許密碼清單中的密碼進行加密,安裝或升級將會失敗。您可以採取下列步驟來取代憑證並重新設定允許密碼清單:
- 建立不使用任何禁用密碼的憑證。您可以使用 cell-management-tool ciphers -a,如以下範例中所示,列出預設組態中允許的所有密碼。
- 使用 cell-management-tool certificates 命令將儲存格的現有憑證取代為新憑證。
- 使用 cell-management-tool ciphers 命令重新設定允許密碼清單,並包含要用於新憑證的所有必要密碼。
重要: 因為 VMRC 主控台需要使用 AES256-SHA 和 AES128-SHA 密碼,如果 VMware Cloud Director 用戶端使用 VMRC 主控台,您就無法禁止這些密碼。
若要管理允許的 SSL 密碼清單,請使用下列形式的命令列︰
cell-management-tool ciphers options
選項 | 引數 | 描述 |
---|---|---|
--help (-h) | 無 | 提供此類別中可用命令的摘要。 |
--all-allowed (-a) | 無 | 列出 VMware Cloud Director 支援的所有密碼。 |
--compatible-reset (-c) (已過時) | 無 | 已過時。使用 --reset 選項重設為預設的允許密碼清單。 |
--disallow (-d) | 以逗號分隔的密碼名稱清單。 | 禁止以逗號隔開的指定清單中的密碼。每次執行此選項時,都必須包含要停用的密碼的完整清單,因為執行此選項會覆寫以前的設定。
重要: 如果執行此選項時不帶任何值,將啟動所有密碼。
若要檢視所有可能的密碼,請執行 -a 選項。
重要: 執行
ciphers --disallow 後,必須重新啟動儲存格。
|
--list (-l) | 無 | 列出目前正在使用的一組允許的密碼。 |
--reset (-r) | 無 | 重設為預設的允許密碼清單。如果此儲存格的憑證使用禁用密碼,則無法與儲存格建立 SSL 連線,直到您安裝使用允許密碼的新憑證。
重要: 執行
ciphers --reset 後,必須重新啟動儲存格。
|
禁止兩個密碼
VMware Cloud Director 包含預先設定的已啟用密碼清單。
本範例顯示了如何從允許的密碼清單啟用其他密碼,以及如何禁用不希望使用的密碼。
- 取得預設啟用的密碼清單。
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ciphers -l
該命令的輸出將返回已啟用密碼的清單。Allowed ciphers: * TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- 取得儲存格在 SSL 信號交換期間可以提供的所有密碼的清單。
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ciphers -a
該命令的輸出將返回允許的密碼清單。# ./cell-management-tool ciphers -a Product default ciphers: * TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 * TLS_RSA_WITH_AES_256_GCM_SHA384 * TLS_RSA_WITH_AES_128_GCM_SHA256 * TLS_RSA_WITH_AES_256_CBC_SHA256 * TLS_ECDH_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDH_RSA_WITH_AES_128_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA
- 指定要停用的密碼。
如果在執行命令時未明確停用某個密碼,則該密碼將變為啟用狀態。
[root@cell1 /opt/vmware/vcloud-director/bin]#./cell-management-tool ciphers -d TLS_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
- 執行命令以檢查已啟用密碼的清單。清單中不存在的任何密碼均被停用。
root@bos1-vcd-static-211-90 [ /opt/vmware/vcloud-director/bin ]# ./cell-management-tool ciphers -l
該輸出將返回現在已啟用的所有密碼的清單。Allowed ciphers: * TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 * TLS_RSA_WITH_AES_256_GCM_SHA384 * TLS_RSA_WITH_AES_128_GCM_SHA256 * TLS_RSA_WITH_AES_256_CBC_SHA256 * TLS_ECDH_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA