CDS 用戶端的加密彈性組態如下所述。
DaaS Agent 目前使用 gSoap 程式庫支援的預設加密和 SSL 通訊協定。以下是用於自訂加密和 SSL 通訊協定的登錄機碼。
請注意下列事項:
- 租用戶應支援用戶端指定的 SSL 通訊協定/設定;否則用戶端無法與租用戶進行通訊。
- 此代理程式為 32 位元應用程式。在 64 位元機器上安裝代理程式時,登錄路徑便會變更,如 https://msdn.microsoft.com/zh-tw/library/windows/desktop/ms724072(v=vs.85).aspx 中所述。
ClientSecureProtocols
- 機碼路徑:HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware DaaS Agent\ClientSecureProtocols
- 類型:字串
- 值的格式:下列值的組合 (以 | 分隔)
- SOAP_TLSv1
在登錄中新增此值之後,將會讓代理程式使用下列其中一個通訊協定來與租用戶通訊:TLSv1.0、TLSv1.1 或 TLSv1.2。
- SOAP_SSLv3_TLSv1
在登錄中新增此值之後,將會讓代理程式使用 SSLV3 或 TLSv1 (1.0 版、1.1 版或 1.2 版) 通訊協定來與租用戶通訊。
- SOAP_SSLv3
在登錄中新增此值之後,將會讓代理程式僅使用 SSLV3 通訊協定來與租用戶通訊。
- SOAP_TLSv1_0
在登錄中新增此值之後,將會讓代理程式僅使用 TLS 1.0 版通訊協定來與租用戶通訊。
- SOAP_TLSv1_1
在登錄中新增此值之後,將會讓代理程式僅使用 TLS 1.1 版通訊協定來與租用戶通訊。
- SOAP_TLSv1_2
在登錄中新增此值之後,將會讓代理程式僅使用 TLS 1.2 版通訊協定來與租用戶通訊。
- SOAP_TLSv1
- 預設值:SOAP_TLSv1_1|SOAP_TLSv1_2
表示代理程式將使用 TLSV1.1 或 TLSV1.2 通訊協定來與租用戶通訊。
ClientCipherSuites
- 機碼路徑:HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware DaaS Agent\ClientCipherSuites
- 類型:字串
- 值的格式:請查看 https://www.openssl.org/docs/manmaster/ssl/ciphers.html 或 http://openssl.cs.utah.edu/docs/apps/ciphers.html
- 預設值:!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES
ClientAuthenticationSettings
- 機碼路徑:HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware DaaS Agent\ClientAuthenticationSettings
- 類型:字串
- 值的格式:下列值的組合 (以 | 分隔)
- SOAP_SSL_REQUIRE_SERVER_AUTHENTICATION
在值中新增此機碼會要求伺服器驗證用戶端。
備註: 系統僅會測試此組態。 - SOAP_SSL_SKIP_HOST_CHECK
在值中新增此機碼會停止檢查憑證中的主機一般名稱。
- SOAP_SSL_ALLOW_EXPIRED_CERTIFICATE
在值中新增此機碼會停止檢查憑證的到期日期,並省略 CRL (憑證撤銷清單) 檢查。
- SOAP_SSL_NO_DEFAULT_CA_PATH
在值中新增此機碼會停用 default_verify_paths (OpenSSL)。
- SOAP_SSL_RSA
在值中新增此機碼會讓代理程式使用 RSA 來驗證租用戶。
- SOAP_SSL_REQUIRE_SERVER_AUTHENTICATION
- 預設值:SOAP_SSL_REQUIRE_SERVER_AUTHENTICATION
CipherSuites
- 機碼路徑:HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware VDM\Agent\Configuration\SSL\CipherSuites
- 類型:字串
- 值的格式:使用冒號分隔符號指定多個密碼。
ProtocolsNotToBeDisabled
- 機碼路徑:HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware VDM\Agent\Configuration\SSL\ ProtocolsNotToBeDisabled
- 類型:DWORD (32 位元)
- 值的格式:
- 若要啟用 TLSv1 及更高版本,請以十六進位值指定 04000000。
- 若要啟用 TLSv1_1 及更高版本,請以十六進位值指定 10000000。
- 若要啟用 TLSv1_2 及更高版本,請以十六進位值指定 08000000 (這是目前的預設值)。