【VMware Cloud Director】セキュリティ プロトコルおよび暗号化スイート

VCD

利用可能なセキュリティ プロトコルおよび暗号化スイートはデフォルトで絞られている。

例:VCD 10.5

VMware Cloud Director 10.5 リリース ノート

次のセキュリティ プロトコルがサポートされます。

TLS バージョン 1.3

TLS バージョン 1.2

TLS バージョン 1.1(デフォルトで無効)

TLS バージョン 1.0(デフォルトで無効)

デフォルトで有効になっているサポート対象の暗号スイート:

TLS_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

以下方法にて、より限定することや緩和するとかが可能となる。

セキュリティプロトコルについて

参考手順:

https://kb.vmware.com/s/article/88929

1.javaに対する設定

設定ファイルの該当箇所を修正

vi /opt/vmware/vcloud-director/jre/conf/security/java.security
※該当箇所にて無効化対象が定義されている
jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1, RC4, DES, MD5withRSA, \
    DH keySize < 1024, EC keySize < 224, 3DES_EDE_CBC, anon, NULL, \
    include jdk.disabled.namedCurves

2.VCDに対する設定

2-1 利用可能なプロトコルを確認
# cell-management-tool ssl-protocols -a
Product default SSL protocols:
* TLSv1.3
* TLSv1.2
* TLSv1.1
* TLSv1

2-2 現在許可されているプロトコルを確認
# cell-management-tool ssl-protocols -l
Allowed SSL protocols:
* TLSv1.3
* TLSv1.2

2-3 無効なプロトコルをTLSv1のみに(TLSv1.1を許可)
# cell-management-tool ssl-protocols -d TLSv1

2-4 現在許可されているプロトコルを確認
# cell-management-tool ssl-protocols -l
Allowed SSL protocols:
* TLSv1.3
* TLSv1.2
* TLSv1.1

2-5 VCDサービス再起動
service vmware-vcd restart

暗号化スイートについて

参考手順: 許可された SSL 暗号のリストの管理

1 利用可能な暗号化スイートを確認
# cell-management-tool ciphers -a
Product default ciphers:
* TLS_AES_256_GCM_SHA384
* TLS_AES_128_GCM_SHA256
* TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
* TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
* TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
* TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
* TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
* TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_RSA_WITH_AES_256_GCM_SHA384
* TLS_RSA_WITH_AES_128_GCM_SHA256
* TLS_RSA_WITH_AES_256_CBC_SHA256
* TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
* TLS_RSA_WITH_AES_256_CBC_SHA
* TLS_RSA_WITH_AES_128_CBC_SHA256
* TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
* TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
* TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
* TLS_RSA_WITH_AES_128_CBC_SHA

2 現在許可されている暗号化スイートを確認
# cell-management-tool ciphers -l
Allowed ciphers:
* TLS_AES_256_GCM_SHA384
* TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

3 有効な暗号化スイートとしてTLS_AES_128_GCM_SHA256を追加(それ以外を許可)
# cell-management-tool ciphers -d TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA

4 現在許可されている暗号化スイートを確認
# cell-management-tool ciphers -l
Allowed ciphers:
* TLS_AES_256_GCM_SHA384
* TLS_AES_128_GCM_SHA256
* TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384