在 vSphere 5.0 上配置 SSLv3 协议
Article ID: 340298
Updated On:
Products
VMware vCenter Server
VMware vSphere ESXi
Issue/Introduction
Symptoms:
免责声明:本文为 Configuring SSLv3 protocol on vSphere 5.0 (2146252) 的翻译版本。尽管我们会不断努力为本文提供最佳翻译版本,但本地化的内容可能会过时。有关最新内容,请参见英文版本。
默认情况下启用了 SSLv3 协议支持,且可对其配置。
如果在您的 vSphere 5.0 环境中禁用 SSLv3,则以下产品可能无法工作:
注意:要在您的 vSphere 环境中禁用 SSLv3,需要将 ESXi 更新为 2016 年 6 月 14 日发行的 ESXi 5.0 修补程序 [3982828],并将 vCenter Server 更新为 vCenter Server 5.0 Update 3g,然后通过配置设置手动禁用 SSLv3,有关详细信息,请参见 KB 2139396。
只有在 ESXi 主机中未禁用 SSLv3 时,旧版 vCenter Server 才能管理已更新为 2016 年 6 月 14 日发行的 ESXi 5.0 修补程序 [3982828] 的 ESXi 主机。
如果在您的 vSphere 5.0 环境中禁用 SSLv3,则以下产品可能无法工作:
- Site Recovery Manager
- Big Data Extensions
- vCloud Director
- vCenter 或 vRealize Infrastructure Navigator
- vShield 或 vCloud Networking and Security
- vSphere Data Recovery
Environment
VMware vCenter Server 5.5.x
VMware vSphere ESXi 5.0
VMware vSphere ESXi 5.0
Resolution
vSphere 5.0 端口和服务
| 服务 | 端口 | 配置步骤 |
| Hostd | 443 | |
| Authd | 902 | |
| SFCBD | 5989 | |
| 虚拟设备管理界面 (VAMI) | 5480 | |
| Authentication Proxy 服务 (CAM) | 51915 | |
| Syslog Collector (vmsyslogcollector) | 1514 | |
| VMware vSphere Web Client 服务 (vspherewebclientsvc) | 9443 | |
| VirtualCenter Server 服务 (vpxd) | 443 | |
| vCenter Inventory Service 数据库 (invsvc) | 10109 | |
| VMware VirtualCenter Management Webservices | 8443 | |
| SPS | 21100(VCSA)、 31100(windows) | |
| Auto Deploy 服务端口 Auto Deploy 管理端口 | 6501 6502 | |
| vSphere Update Manager | 8084/9087 | |
| vCenter Server Appliance | 5489 | vCenter Server Appliance |
Hostd 服务 - 端口 443
启用 SSLv3 协议
要对适用于 2016 年 6 月 14 日发行的 ESXi 5.0 修补程序的 Hostd 服务启用 SSLv3 协议,请执行以下步骤:
- 使用 putty.exe 登录到 ESXi
- 要启用 SSLv3,请运行以下命令:
esxcli system settings advanced set -o /UserVars/ESXiHostdDisabledProtocols -s ""
- 通过运行以下命令重新启动 rhttpproxy 服务:
/etc/init.d/hostd restart
- 运行以下命令,获取 hostd 的禁用协议列表:
esxcli system settings advanced list -o /UserVars/ESXiHostdDisabledProtocols
其中:
Path: /UserVars/ESXiHostdDisabledProtocols
Type: string
Int Value: 0
Default Int Value: 0
Min Value: 0
Max Value: 0
String Value:
Default String Value:
Valid Characters: *
禁用 SSLv3 协议
要禁用 SSLv3 协议,请执行以下步骤:
- 使用 putty.exe 登录到 ESXi
- 运行以下命令禁用 SSLv3:
esxcli system settings advanced set -o /UserVars/ESXiHostdDisabledProtocols -s "SSLv3"
- 通过运行以下命令重新启动 rhttpproxy 服务:
/etc/init.d/hostd restart
- 运行以下命令,获取 hostd 的禁用协议列表:
esxcli system settings advanced list -o /UserVars/ESXiHostdDisabledProtocols
其中:
Path: /UserVars/ESXiHostdDisabledProtocols
Type: string
Int Value: 0
Default Int Value: 0
Min Value: 0
Max Value: 0
String Value: sslv3
Default String Value:
Valid Characters: *
如果出现意外行为,请还原之前备份的代理配置文件以便将系统恢复为原来的空白状态。
HostProfile
Hostd 的配置也可以通过主机配置文件来捕获,具体步骤如下:
- 使用 vSphere Web Client 登录到 VC。
- 右键单击目标主机并单击提取主机配置文件,创建新的主机配置文件。
- 创建主机配置文件后,导航到主页 > 主机配置文件>your_host_profile进行编辑。
- 在“编辑主机配置文件”选项卡中,可以在高级配置设置 > 高级选项 > 高级配置选项 > ESXiHostdDisabledProtocols下找到 hostd 的条目。
- 主机配置文件中 hostd 的应用与其他设置的应用相同。如果主机配置文件中包含 hostd 配置,在选择目标主机来应用主机配置文件时,将显示并替换 hostd 的主机配置文件和目标主机之间的差异。
Authd - 端口 902
启用 SSLv3 协议
要对适用于 2016 年 6 月 14 日发行的 ESXi 5.0 修补程序的 Authd 服务启用 SSLv3 协议,请执行以下步骤:
- 使用putty.exe登录到 ESXi。
- 要启用 SSLv3,请运行以下命令:
esxcli system settings advanced set -o /UserVars/VMAuthdDisabledProtocols50 -s ""
- 运行以下命令,获取 authd 的禁用协议列表:
esxcli system settings advanced list -o /UserVars/VMAuthdDisabledProtocols50
其中:
Path: /UserVars/VMAuthdDisabledProtocols50
Type: string
Int Value: 0
Default Int Value: 0
Min Value: 0
Max Value: 0
String Value:
Default String Value:
Valid Characters: *
禁用 SSLv3 协议
要禁用 SSLv3 协议,请执行以下步骤:
要禁用 SSLv3 协议,请执行以下步骤:
- 使用 putty.exe 登录到 ESXi
- 要禁用 sslv3,请运行以下命令:
esxcli system settings advanced set -o /UserVars/VMAuthdDisabledProtocols50 -s "sslv3"
- 运行以下命令,获取 authd 的禁用协议列表:
esxcli system settings advanced list -o /UserVars/VMAuthdDisabledProtocols50
其中:
Path: /UserVars/VMAuthdDisabledProtocols50
Type: string
Int Value: 0
Default Int Value: 0
Min Value: 0
Max Value: 0
String Value: sslv3
Default String Value:
Valid Characters: *
如果出现意外行为,请还原之前备份的代理配置文件以便将系统恢复为原来的空白状态。
HostProfile
Authd 的配置也可以通过主机配置文件来捕获,具体步骤如下:
- 使用 vSphere Web Client 登录到 VC。
- 右键单击目标主机并单击提取主机配置文件,创建新的主机配置文件。
- 创建主机配置文件后,导航到主页 > 主机配置文件>your_host_profile进行编辑。
- 在“编辑主机配置文件”选项卡中,可以在高级配置设置 > 高级选项 > 高级配置选项 > VMAuthdDisabledProtocols50下找到 authd 的条目。
- 主机配置文件中 authd 的应用与其他设置的应用相同。如果 authd 的配置包含在主机配置文件中,在选择目标主机来应用主机配置文件时,将会显示并替换 authd 的主机配置文件和目标主机之间的差异。
SFCBD - 端口 5989
启用 SSLv3 协议
要对适用于 2016 年 6 月 14 日发行的 ESXi 5.0 修补程序的 SFCBD 服务启用 SSLv3 协议,请执行以下步骤:
要对适用于 2016 年 6 月 14 日发行的 ESXi 5.0 修补程序的 SFCBD 服务启用 SSLv3 协议,请执行以下步骤:
- 使用putty.exe.登录到 ESXi
- 运行以下命令并编辑该文件:
vi /etc/sfcb/sfcb.cfg
enableSSLv3: true
- 保存文件。
- 使用以下命令重新启动服务以使配置生效:
/etc/init.d/sfcbd-watchdog restart
禁用 SSLv3 协议
要对适用于 2016 年 6 月 14 日发行的 ESXi 5.0 修补程序的 SFCBD 服务禁用 SSLv3 协议,请执行以下步骤:
要对适用于 2016 年 6 月 14 日发行的 ESXi 5.0 修补程序的 SFCBD 服务禁用 SSLv3 协议,请执行以下步骤:
- 使用putty.exe.登录到 ESXi
- 运行以下命令修改文件并禁用 SSLv3:
vi /etc/sfcb/sfcb.cfg
- 添加类似于以下内容的条目以禁用 SSLv3。如果该条目存在,请将值设置为false:
enableSSLv3: false
- 保存文件。
HostProfile
CIM 的配置也可以通过主机配置文件来捕获:
- 通过 C# 登录到 vCenter Server。
- 右键单击目标主机并单击提取主机配置文件,创建新的主机配置文件。
- 选择主页>主机配置文件> 要编辑的主机配置文件进行编辑。
- 在编辑主机配置文件选项卡中,在SFCB 配置>设置下选择“常规系统设置”>“管理代理配置”以启用 sslv3。
- 将主机配置文件应用于有状态或无状态系统。
- 使用以下命令重新启动服务以使配置生效:
/etc/init.d/sfcbd-watchdog restart
虚拟设备管理界面 (VAMI) 服务 - 端口 5480
启用 SSLv3 协议
要对适用于 vCenter Server 5.0 Update 3g 的 VAMI 服务启用 SSLv3 协议,请执行以下步骤:
- 转至/opt/vmware/etc/lighttpd/lighttpd.conf文件。
- 创建该文件的备份副本。
- 搜索以下行:
ssl.use-sslv3="disable"
- 将该行修改为:
ssl.use-sslv3="enable"
- 保存文件。
- 使用以下命令重新启动 VAMI 服务:
service vami-lighttp restart
禁用 SSLv3 协议
要对适用于 vCenter Server 5.0 Update 3g 的 VAMI 服务禁用 SSLv3 协议,请执行以下步骤:
- 转至/opt/vmware/etc/lighttpd/lighttpd.conf。
- 创建该文件的备份副本。
- 搜索以下行:
ssl.use-sslv3="enable"
- 如果不存在ssl.use-sslv3="enable",请将以下行添加到配置文件
ssl.engine = "enable"
- 将该行修改为:
ssl.use-sslv3="disable"
- 保存文件。
- 使用以下命令重新启动 VAMI 服务:
service vami-lighttp restart
Authentication Proxy (CAM) 服务 - 端口 51915
启用 SSLv3 协议
要对适用于 vCenter Server 5.0 Update 3g 的 CAM 服务启用 SSLv3 协议,请执行以下步骤:
- 以管理员身份在安装了 VMware Authentication Proxy 的服务器上打开并运行注册表编辑器。
- 导航至“注册表编辑器”窗口中的以下位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\
- 在导航树中右键单击协议,然后选择新建>项。
- 输入 SSL3.0 作为项名称。
- 重复步骤 5 以创建两个 SSL3.0 项。将这两个项分别命名为“Server”和“Client”。
- 右键单击Client项,然后选择新建>DWORD (32 位) 值。
- 输入DisabledByDefault作为值名称。
- 双击DisabledByDefault,然后输入 0 作为数据值。
- 单击确定。
- 右键单击 Server 项,然后选择新建>DWORD (32 位) 值。
- 输入Enabled作为值名称。
- 双击Enabled,然后输入 1 作为数据值。
- 单击确定
- 重新启动服务器。
禁用 SSLv3 协议
要对适用于 vCenter Server 5.0 Update 3g 的 CAM 服务禁用 SSLv3 协议,请执行以下步骤:
- 以管理员身份在安装了 VMware Authentication Proxy 的服务器上打开并运行注册表编辑器。
- 导航至“注册表编辑器”窗口中的以下位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\
- 在导航树中右键单击协议,然后选择新建>项。
- 输入 SSL3.0 作为项名称。
- 在 SSL3.0 项下创建两个项,分别命名为“Server”和“Client”。
- 右键单击Client项,然后选择新建>DWORD (32 位) 值。
- 输入DisabledByDefault作为值名称。
- 双击DisabledByDefault,然后输入 1 作为值。
- 单击确定。
- 右键单击 Server 项,然后选择新建>DWORD (32 位) 值。
- 输入Enabled作为值名称。
- 双击Enabled,然后输入 0 作为数据值。
- 单击确定
- 重新启动服务器。
Syslog Collector 服务 - 端口 1514
启用 SSLv3 协议
要对适用于 vCenter Server 5.0 Update 3g 的 Syslog Collector 服务启用 SSLv3 协议,请执行以下步骤:
- 从以下位置访问配置文件:
- Windows 默认位置:C:\ProgramData\VMware\VMware Syslog Collector\vmconfig-syslog.xml
- vCenter Server Appliance 默认位置:/etc/syslog-ng/stunnel.conf。
- 创建该文件的备份副本。
- 对于 Windows,编辑该文件以移除<disableSSLv3></disableSSLv3>节点,如下所示:
<ssl>
<defaultSSLPath>C:\ProgramData\VMware\vCenterServer\cfg\vmsyslogcollector\ssl</defaultSSLPath>
<privateKey>vmsyslogcollector.key</privateKey>
<certificate>vmsyslogcollector.crt</certificate>
</ssl>
- 对于 VCSA:
从配置文件中移除options=NO_SSLv3。
- 保存文件并重新启动。
- Windows:重新启动vmsyslogcollector服务。
VCSA:Service syslog-collector restart
禁用 SSLv3 协议
要对适用于 vCenter Server 5.0 Update 3g 的 Syslog Collector 服务禁用 SSLv3 协议,请执行以下步骤:
- 从以下位置访问配置文件:
- Windows 默认位置:C:\ProgramData\VMware\VMware Syslog Collector\vmconfig-syslog.xml
- vCenter Server Appliance 默认位置:/etc/syslog-ng/stunnel.conf
- 创建该文件的备份副本。
- 对于 Windows,编辑该文件以添加<disableSSLv3></disableSSLv3>节点,如下所示:
<ssl>
<defaultSSLPath>C:\ProgramData\VMware\vCenterServer\cfg\vmsyslogcollector\ssl</defaultSSLPath>
<privateKey>vmsyslogcollector.key</privateKey>
<certificate>vmsyslogcollector.crt</certificate>
<disableSSLv3></disableSSLv3>
</ssl>
- 对于 VCSA:
将新行"options=NO_SSLv3"添加到/etc/syslog-ng/stunnel.conf配置文件。
- 保存文件并重新启动。
Windows:重新启动vmsyslogcollector服务。
VCSA:/etc/init.d/syslog-collector restart
VMware vSphere Web Client 服务 (vspherewebclientsv) - 端口 9443
启用 SSLv3 协议
要对适用于 vCenter Server 5.0 Update 3g 的 vSphere Web Client Service 服务启用 SSLv3 协议,请执行以下步骤:
- 打开tomcat-server.xml文件:
- Windows 默认位置:C:\Program Files\VMware\Infrastructure\vSphereWebClient\server\config\tomcat-server.xml
- vCenter Server Appliance 默认位置:/usr/lib/vmware-vsphere-client/server/config/tomcat-server.xml
- 创建该文件的备份副本。
- 编辑该文件以将 SSLv3 添加到下面显示的sslEnabledProtocols列表,从而启用 SSLv3:
<Connector port="9443" protocol="HTTP/1.1" sslEnabledProtocols="SSLv3, TLSv1">
- 保存文件。
- 重新启动 Management Webservices。
Windows:重新启动VMware management webservices服务。
VCSA:重新启动VPXD服务。
禁用 SSLv3 协议
要对适用于 vCenter Server 5.0 Update 3g 的 vSphere Web Client Service 服务禁用 SSLv3 协议,请执行以下步骤:
- 打开tomcat-server.xml文件:
- Windows 默认位置:C:\Program Files\VMware\Infrastructure\vSphereWebClient\server\config\tomcat-server.xml
- vCenter Server Appliance 默认位置:/usr/lib/vmware-vsphere-client/server/config/tomcat-server.xml
- Windows 默认位置:C:\Program Files\VMware\Infrastructure\vSphereWebClient\server\config\tomcat-server.xml
- 创建该文件的备份副本。
- 编辑该文件以将 SSLv3 从下面显示的sslEnabledProtocols="TLSv1"列表中移除,从而禁用 SSLv3:
<Connector port="9443" protocol="HTTP/1.1" sslEnabledProtocols="TLSv1">
- 保存文件。
- 对于 Windows,重新启动 VMware Management Webservices。
- 对于 VCSA,重新启动 VPXD。
VMware Virtual Center Server (vpxd) - 端口 443
启用 SSLv3 协议
要对适用于 vCenter Server 5.0 Update 3g 的 Virtual Center Server 服务启用 SSLv3 协议,请执行以下步骤:
- 打开vpxd.cfg文件:
- Windows 默认位置:C:\ProgramData\VMware\VMware VirtualCenter\vpxd.cfg
- vCenter Server Appliance 默认位置:/etc/vmware-vpx/vpxd.cfg
- 创建该文件的备份副本。
- 编辑该文件以移除<sslOptions></sslOptions>来相应地启用 SSLv3:
<vmacore>
<cacheProperties>true</cacheProperties>
<ssl>
<useCompression>true</useCompression>
</ssl>
<threadPool>
<TaskMax>90</TaskMax>
<threadNamePrefix>vpxd</threadNamePrefix>
</threadPool>
</vmacore>
- 保存文件。
- 重新启动 vpxd 服务。
- Windows 默认位置:从services.msc重新启动VMware VirtualCenter Server服务
- vCenter Server Appliance:从命令提示符执行以下命令:
/etc/init.d/vmware-vpxd restart。
- Windows 默认位置:从services.msc重新启动VMware VirtualCenter Server服务
禁用 SSLv3 协议
要对适用于 vCenter Server 5.0 Update 3g 的 Virtual Center Server 服务禁用 SSLv3 协议,请执行以下步骤:
- 打开vpxd.cfg文件:
- Windows 默认位置:C:\ProgramData\VMware\VMware VirtualCenter\vpxd.cfg
- vCenter Server Appliance 默认位置:/etc/vmware-vpx/vpxd.cfg
- 创建该文件的备份副本。
- 编辑该文件以添加<sslOptions>50479104</sslOptions>来禁用 SSLv3:
<vmacore>
<cacheProperties>true</cacheProperties>
<ssl>
<useCompression>true</useCompression>
<sslOptions>50479104</sslOptions>
</ssl>
<threadPool>
<TaskMax>90</TaskMax>
<threadNamePrefix>vpxd</threadNamePrefix>
</threadPool>
</vmacore>
- 保存文件。
- 重新启动 vpxd 服务。
- Windows 默认位置:从services.msc重新启动VMware VirtualCenter Server服务
- vCenter Server Appliance:从命令提示符执行以下命令:
/etc/init.d/vmware-vpxd restart。
vCenter Inventory Service 数据库 (invsvc) - XDB 端口 10109、10443
启用 SSLv3 协议
要对适用于 vCenter Server vCenter Server 5.0 Update 3g 的 invsvc 服务启用 SSLv3 协议,请执行以下步骤:
- 打开query-server-config.xml文件:
- Windows 默认位置:C:\Program Files\VMware\Infrastructure\Inventory Service\lib\server\config\server-confg.xml
- vCenter Server Appliance 默认位置:/usr/lib/vmware-vpx/inventoryservice/lib/server/config/server-config.xml
- 创建该文件的备份副本。
- 编辑该文件以将 SSLv3 添加到下面显示的enabledProtocols列表,从而启用 SSLv3:
<property name="enabledProtocols" value="SSLv3,TLSv1" />
- 保存文件。
- 重新启动 Inventory Service。
禁用 SSLv3 协议
要对适用于 vCenter Server 5.0 Update 3g 的 invsvc 服务禁用 SSLv3 协议,请执行以下步骤:
- 打开query-server-config.xml文件:
- Windows 默认位置:C:\Program Files\VMware\Infrastructure\Inventory Service\lib\server\config\server-confg.xml。
- vCenter Server Appliance 默认位置:/usr/lib/vmware-vpx/inventoryservice/lib/server/config/server-config.xml。
- 创建该文件的备份副本。
- 编辑该文件以从enabledProtocols列表移除 SSLv3,从而禁用 SSLv3:
<property name="enabledProtocols" value="TLSv1" />
- 对于 VCSA:
更改usr/lib/vmware-vpx/inventoryservice/lib/server/config中相应的query-server-config.xml和server-config.xml文件
- 保存文件。
- 重新启动 Inventory Service。
VMware Virtual Center Management Webservices - 端口 8443
启用 SSLv3 协议
要对适用于 vCenter Server 5.0 Update 3g 的 Virtual Center Management Webservices 启用 SSLv3 协议,请执行以下步骤:
- 打开 theeserver.xml 文件:
- Windows 默认位置:C:\Program Files\VMware\Infrastructure\tomcat\conf\server.xml
- vCenter Server Appliance 默认位置:/usr/lib/vmware-vpx/tomcat/conf/server.xml
- 创建该文件的备份副本。
- 编辑该文件以将 SSLv3 添加到下面显示的sslEnabledProtocols列表,从而启用 SSLv3:
<property name="enabledProtocols" value="SSLv3,TLSv1"/>
- 保存文件。
- 对于 Windows,重新启动 VMware Management Webservices。
- 对于 VCSA,重新启动 VPXD。
禁用 SSLv3 协议
要对适用于 vCenter Server 5.0 Update 3g 的 Virtual Center Management Webservices 禁用 SSLv3 协议,请执行以下步骤:
- 打开server.xml文件:
- Windows 默认位置:C:\Program Files\VMware\Infrastructure\tomcat\conf\server.xml
- vCenter Server Appliance 默认位置:/usr/lib/vmware-vpx/tomcat/conf/server.xml
- 创建该文件的备份副本。
- 编辑该文件以将 SSLv3 从下面显示的sslEnabledProtocols列表中移除,从而禁用 SSLv3:
<property name="enabledProtocols" value="TLSv1"/>
- 对于 VCSA:
更改/usr/lib/vmware-vpx/tomcat/conf/server.xml文件中的值。
- 保存文件。
- 重新启动 Management Webservices。
Windows:重新启动VMware management webservices服务。
VCSA:重新启动VPXD服务。
SPS - 端口 21100(VCSA)、31100(Windows)
启用 SSLv3 协议
要对适用于 vCenter Server 5.0 Update 3g 的 SPS 启用 SSLv3 协议,请执行以下步骤:
- 打开sps-spring-config.xml文件:
- Windows 默认位置:C:\Program Files\VMware\Infrastructure\Profile-Driven Storage\conf\sps-spring-config.xml
- vCenter Server Appliance 默认位置:/usr/lib/vmware-vpx/sps/conf/sps-spring-config.xml
- 创建该文件的备份副本。
- 编辑该文件以将值 SSLv3 添加到下面显示的enabledProtocols列表,从而启用 SSLv3:
<property name="enabledProtocols" value="SSLv3,TLSv1 "/>
- 保存文件。
- 重新启动 SPS 服务。
禁用 SSLv3 协议
要对适用于 vCenter Server 5.0 Update 3g 的 SPS 禁用 SSLv3 协议,请执行以下步骤:
- 打开sps-spring-config.xml文件:
- Windows 默认位置:C:\Program Files\VMware\Infrastructure\Profile-Driven Storage\conf\sps-spring-config.xml
- vCenter Server Appliance 默认位置:/usr/lib/vmware-vpx/sps/conf/sps-spring-config.xml
- 创建该文件的备份副本。
- 要禁用 SSLv3,请移除sps-spring-config列表中EnabledProtocols列表上的字符串SSLv3:
将<property name="enabledProtocols" value="SSLv3,TLSv1"/>"更改为<property name="enabledProtocols" value="TLSv1"/>"
- 保存文件。
- 重新启动vmware-sps服务。
Auto Deploy - 端口 6501/6502
启用 SSLv3 协议
要对适用于 vCenter Server 5.0 Update 3g 的 Auto Deploy 服务启用 SSLv3 协议,请执行以下步骤:
- 运行以下命令连接到 vCenter Server:
PowerCLI C:\Program Files (x86)\VMware\Infrastructure\vSphere PowerCLI> Connect-VIServer -Server <FQDN_hostname or IP Address of vCenter Server>
- 运行以下命令检查 SSLv3 的当前状态:
PowerCLI C:\Program Files (x86)\VMware\Infrastructure\vSphere PowerCLI> Get-DeployOption
KeyValue
vlan-id0
disable-sslv31
- 运行以下命令启用 SSLv3:
启用:PowerCLI C:\Program Files (x86)\VMware\Infrastructure\vSphere PowerCLI> Set-DeployOption disable-sslv3 0
- 重新启动 Auto Deploy 服务以更新更改。
禁用 SSLv3 协议
要对适用于 vCenter Server 5.0 Update 3g 的 Auto Deploy 服务禁用 SSLv3 协议,请执行以下步骤:
- 运行以下命令连接到 vCenter Server:
PowerCLI C:\Program Files (x86)\VMware\Infrastructure\vSphere PowerCLI> Connect-VIServer -Server <FQDN_hostname or IP Address of vCenter Server>
- 运行以下命令检查 SSLv3 的当前状态:
PowerCLI C:\Program Files (x86)\VMware\Infrastructure\vSphere PowerCLI> Get-DeployOption
KeyValue
vlan-id0
disable-sslv30
- 打开修改 autodeploy 配置文件以禁用 SSLv3:
- Windows 默认位置:c:\ProgramData\VMware\VMware vSphere Autodeploy\vmconfig-autodeploy
- vCenter Server Appliance 默认位置:/etc/vmware-rbd/autodeploy-setup.xml
- 按如下所示,编辑该文件并将值从True更改为False,以禁用 sslv3:
<ssl>
<disable-sslv3>False</disable-sslv3>
<ssl>
- 运行以下命令禁用 SSLv3:
禁用:PowerCLI C:\Program Files (x86)\VMware\Infrastructure\vSphere PowerCLI> Set-DeployOption disable-sslv3 1
- 重新启动 Auto Deploy 服务以更新更改。
Update Manager - 端口 9087/8084
启用 SSLv3 协议
要对适用于 vCenter Server 5.0 Update 3g 的 Update Manager 服务启用 SSLv3 协议,请执行以下步骤:
- 停止 vSphere Update Manager 服务。
- 转至 Update Manager 安装目录。
- 编辑以下内容以启用 SSLv3:
- 对于端口 9087,在jetty-vum-ssl.xml文件中搜索并删除<Item>SSLv3</Item>:
<New class="org.eclipse.jetty.util.ssl.SslContextFactory">
<Arg>
<Set name="ExcludeProtocols">
<Array type="java.lang.String">
<Item>SSLv3</Item>
</Array>
</Set>
</New>
</Arg>
- 对于端口 8084,在vci-interity.xml文件中搜索并删除<sslOptions>33554432</sslOptions>:
<ssl>
<cipherList>AES128-SHA, AES256-SHA</cipherList>
<handshakeTimeoutMs>120000</handshakeTimeoutMS>
<sslOptions>33554432</sslOptions>
<ssl>
<ssl>
<privateKey>ssl/rui.key</privateKey>
<certificate>ssl/rui.crt</certificate>
<sslOptions>33554432</sslOptions>
<ssl>
- 对于端口 9087,在jetty-vum-ssl.xml文件中搜索并删除<Item>SSLv3</Item>:
- 保存并重新启动 vSphere Update Manager 服务。
禁用 SSLv3 协议
要对适用于 vCenter Server 5.0 Update 3g 的 Update Manager 服务禁用 SSLv3 协议,请执行以下步骤:
- 停止 vSphere Update Manager 服务。
- 转至 Update Manager 安装目录。
- 编辑以下内容以禁用 SSLv3:
- 对于端口 9087,将以下文本添加到jetty-vum-ssl.xml文件中的<New class="org.eclipse.jetty.server.ssl.SslSocketConnector">后面:
<Arg>
<New class="org.eclipse.jetty.util.ssl.SslContextFactory">
<Set name="ExcludeProtocols">
<Array type="java.lang.String">
<Item>SSLv3</Item>
</Array>
</Set>
</New>
</Arg>
- 对于端口 8084,将<sslOptions>33554432</sslOptions>添加到vci-interity.xml文件:
<ssl>
<cipherList>AES128-SHA, AES256-SHA</cipherList>
<handshakeTimeoutMs>120000</handshakeTimeoutMS>
<sslOptions>33554432</sslOptions>
<ssl>
<ssl>
<privateKey>ssl/rui.key</privateKey>
<certificate>ssl/rui.crt</certificate>
<sslOptions>33554432</sslOptions>
<ssl>
- 对于端口 9087,将以下文本添加到jetty-vum-ssl.xml文件中的<New class="org.eclipse.jetty.server.ssl.SslSocketConnector">后面:
- 保存并重新启动 vSphere Update Manager 服务。
vCenter Server Appliance - 端口 5489
在此端口上无法配置 SSLv3,这是 VCSA 特定的问题。使用 SSH 客户端登录 VCSA 服务器。
- 运行以下命令转至init.d directory:
cd /etc/init.d/
- 运行以下命令创建新文件:
vi vami_port
- 将以下内容添加到vami_port文件:
#!/bin/bash
### BEGIN INIT INFO
# Provides: vami_port
# Required-Start: vaos
# Required-Stop:
# Default-Start: 3 5
# Default-Stop:
### END INIT INFO
./etc/rc.status
rc_reset
/usr/sbin/iptables -A INPUT -i eth0 -p tcp --dport 5489 -j REJECT
rc_exit
- 运行以下命令更改vami_port文件的权限:
chmod 755 vami_port
- 运行以下命令执行脚本:
./vami_port 或 sh vami_port
- 运行以下命令插入vami_port文件作为服务:
insserv vami_port
Additional Information
Feedback
Yes
No
Powered by
