利用可能なセキュリティ プロトコルおよび暗号化スイートはデフォルトで絞られている。
例:VCD 10.5
VMware Cloud Director 10.5 リリース ノート
次のセキュリティ プロトコルがサポートされます。
TLS バージョン 1.3
TLS バージョン 1.2
TLS バージョン 1.1(デフォルトで無効)
TLS バージョン 1.0(デフォルトで無効)
デフォルトで有効になっているサポート対象の暗号スイート:
TLS_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
以下方法にて、より限定することや緩和するとかが可能となる。
セキュリティプロトコルについて
参考手順:
https://kb.vmware.com/s/article/88929
1.javaに対する設定
設定ファイルの該当箇所を修正
vi /opt/vmware/vcloud-director/jre/conf/security/java.security ※該当箇所にて無効化対象が定義されている jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1, RC4, DES, MD5withRSA, \ DH keySize < 1024, EC keySize < 224, 3DES_EDE_CBC, anon, NULL, \ include jdk.disabled.namedCurves
2.VCDに対する設定
2-1 利用可能なプロトコルを確認 # cell-management-tool ssl-protocols -a Product default SSL protocols: * TLSv1.3 * TLSv1.2 * TLSv1.1 * TLSv1 2-2 現在許可されているプロトコルを確認 # cell-management-tool ssl-protocols -l Allowed SSL protocols: * TLSv1.3 * TLSv1.2 2-3 無効なプロトコルをTLSv1のみに(TLSv1.1を許可) # cell-management-tool ssl-protocols -d TLSv1 2-4 現在許可されているプロトコルを確認 # cell-management-tool ssl-protocols -l Allowed SSL protocols: * TLSv1.3 * TLSv1.2 * TLSv1.1 2-5 VCDサービス再起動 service vmware-vcd restart
暗号化スイートについて
参考手順: 許可された SSL 暗号のリストの管理
1 利用可能な暗号化スイートを確認 # cell-management-tool ciphers -a Product default ciphers: * TLS_AES_256_GCM_SHA384 * TLS_AES_128_GCM_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_RSA_WITH_AES_256_GCM_SHA384 * TLS_RSA_WITH_AES_128_GCM_SHA256 * TLS_RSA_WITH_AES_256_CBC_SHA256 * TLS_ECDH_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA256 * TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDH_RSA_WITH_AES_128_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA 2 現在許可されている暗号化スイートを確認 # cell-management-tool ciphers -l Allowed ciphers: * TLS_AES_256_GCM_SHA384 * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 3 有効な暗号化スイートとしてTLS_AES_128_GCM_SHA256を追加(それ以外を許可) # cell-management-tool ciphers -d TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA 4 現在許可されている暗号化スイートを確認 # cell-management-tool ciphers -l Allowed ciphers: * TLS_AES_256_GCM_SHA384 * TLS_AES_128_GCM_SHA256 * TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 * TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384