依預設,VMware Integrated OpenStack 服務支援包含加密套件 ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256 的 TLS 1.2。若要自訂 TLS 加密套件,請使用 Kubernetes 命令列公用程式。

備註: 如果選擇設定 TLS 以外的安全性通訊協定,則應承擔潛在的安全性風險。

下列程序顯示如何將 TLS 1.1 的加密套件新增至 VMware Integrated OpenStack Horizon 服務。

程序

  1. root 使用者身分登入 Integrated OpenStack Manager 
    ssh root@mgmt-server-ip
  2. 輸入命令以設定 Horizon 服務。 
    osctl edit Horizon
  3. 若要使用 TLS 1.1 並新增加密套件 ECDHE-RSA-AES256-SHA384,請指定下列組態。 
    spec:
  conf:
    ssl:
      protocol: TLSv1.1
      ciphersuite: ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384
    horizon:
      local_settings:
        config:
          openstack_neutron_network:
  4. 儲存組態。
  5. 在 Horizon 服務重新啟動後,請驗證通訊協定和加密套件設定。
    1. 輸入下列命令。 
      osctl exec -it <pod-name> bash
    2. 開啟組態檔 /etc/apache2/mods-enabled/ssl.conf
    3. 若要驗證設定,請尋找關鍵字 SSLProtocolSSLCipherSuite,然後檢查其值。