若要設定儲存格在 SSL 信號交換程序中提供的一組 SSL 通訊協定,請使用儲存格管理工具的 ssl-protocols 命令。

用戶端透過 SSL 連線至 VMware Cloud Director 儲存格時,儲存格只會提供已在其允許的 SSL 通訊協定清單上設定的通訊協定。TLSv1 不在預設清單中,因為已知它存在嚴重的安全性漏洞。如需有關為 VMware Cloud Director 10.4 或更新版本啟用 TLS 1.0 或 TLS 1.1 的詳細資訊,請參閱知識庫文章 88929

程序

  1. root 身分直接登入或使用 SSH 用戶端登入 VMware Cloud Director 儲存格的作業系統。
  2. 執行以下命令以管理允許的 SSL 通訊協定清單。
    cell-management-tool ssl-protocols options
    表 1. 儲存格管理工具選項與引數、ssl-protocols 子命令
    選項 引數 描述
    --help (-h) 提供此類別中可用命令的摘要。
    --all-allowed (-a) 列出 VMware Cloud Director 支援的所有 SSL 通訊協定。
    --disallow (-d) 以逗號分隔的 SSL 通訊協定名稱清單。 將不允許的 SSL 通訊協定清單重新設定為清單中指定的通訊協定。每次執行此選項時,都必須包含要停用的 SSL 通訊協定的完整清單,因為執行此選項會覆寫以前的設定。
    重要: 如果執行此選項時不帶任何值,將啟動所有 SSL 通訊協定。
    若要檢視所有可能的 SSL 通訊協定,請執行 -a 選項。
    重要: 執行 ssl-protocols --disallow 後,必須重新啟動儲存格。
    --list (-l) 列出目前正在使用的一組允許的 SSL 通訊協定。
    --reset (-r) 將已設定的 SSL 通訊協定清單重設為出廠預設值。
    重要: 執行 ssl-protocols --reset 後,必須重新啟動儲存格。

範例: 列出允許的已設定 SSL 通訊協定並重新設定禁用的 SSL 通訊協定清單

使用 --all-allowed (-a) 選項列出允許儲存格在 SSL 信號交換期間提供的所有 SSL 通訊協定。

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -a
Product default SSL protocols:

    * TLSv1.2
    * TLSv1.1
    * TLSv1

此清單通常是儲存格設定為支援的 SSL 通訊協定超集。若要列出那些 SSL 通訊協定,請使用 --list (-l) 選項。

[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -l
Allowed SSL protocols:

    * TLSv1.2
    * TLSv1.1

若要重新設定禁用的 SSL 通訊協定清單,請使用 --disallow (-d) 選項。這個選項需要 ssl-protocols –a 所產生的允許通訊協定子集的逗號分隔清單。

此範例會更新禁用的 SSL 通訊協定清單,以包含 TLSv1。早於 5.5 Update 3e 的 vCenter Server 版本需要 TLSv1。
[root@cell1 /opt/vmware/vcloud-director/bin]# ./cell-management-tool ssl-protocols -d TLSv1
在執行此命令之後,您必須重新啟動儲存格。