ESXi での SSLv3 のサポートの有効化
Article ID: 338495
Updated On:
Products
Issue/Introduction
免責事項:これは英文の記事「Enabling support for SSLv3 in ESXi (2121021)」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。
ESXi 6.0 での SSLv3 のサポートは、すべてのサービスおよびポートに対して、デフォルトでは無効にされています。これらのエラーは、これらのポートで SSLv3 がサポートされていないために発生する可能性があります。
CIM - ポート 5989
CIM サーバ (sfcbd) が HTTPS 接続の受付を停止し、wbemcli クエリを実行すると、次のようなエラーが表示されます。
[root@galaxy ~]# wbemcli -noverify -cte -nl ei
https://user:[email protected]:5989/root/cimv2:CIM_NumericSensor
*
* wbemcli:Http Exception:SSL connect error
*
[root@galaxy ~]#
/var/log/syslog.log ファイルに、次のようなエントリが表示されます。
<yyyy-mm-dd>T <time>Z sfcb-CIMXML-Processor[nnnnnn]:*** 1920 Error accepting SSL connection -- exiting
SSL Error Stack:
SSL
注:前述のログの引用は単なる例です。日付、時間、および環境変数は、環境によって異なる場合があります。
Authd - ポート 902
ESXi 6.0 Update 1 と View Composer 6.1.1 間の接続エラーにより、リンク クローン プールの作成に失敗し、次のようなエラー メッセージが表示されます。
SSLv3 ハンドシェイクに失敗しました
これらの問題を解決するには、「Solution」セクションを参照して、必要な SSLv3 のサポートを有効にしてください。
Environment
VMware View 6.1.1
Resolution
警告: 次の手順では、SSLv3 のセキュリティ脆弱性が露呈されています。 この問題は VMware View 6.0.2 で解決されています。 詳細については、『Release Notes for VMware Horizon 6 version 6.2』を参照してください。 「My VMware」で最新のバージョンをダウンロードしてください。
SSLv3 のサポートは、これらのポートおよびサービスに対して有効にできます。
- CIM ポート 5989
- Authd サービス ポート 902
ESXi の CIM ポート 5989 での SSLv3 のサポートの有効化
- /etc/sfcb/sfcb.cfg ファイルのバックアップ コピーを作成します。
- /etc/sfcb/sfcb.cfg ファイルを編集して、ファイルの最後に次の行を追加します。
enableSSLv3: true
注: ファイルに行 enableSSLv3: false がある場合は、enableSSLv3: true に変更します。
例:
[root@blr7-7th-dhcp-45-136:~] cat /etc/sfcb/sfcb.cfg
# Generated by sfcb-config.py. Do not modify this header.
# VMware ESXi 6.0.0 build-3029758
#
basicAuthLib: sfcBasicPAMAuthentication
certificateAuthLib: sfcCertificateAuthentication
cimXmlFdHardLimit: 1024
cimXmlFdSoftLimit: 512
.
.
.
threadStackSize: 524288
useChunking: true
sslCipherList: HIGH:!DES-CBC3-SHA!CAMELLIA128-SHA!CAMELLIA256-SHA
enableSSLv3: true
- 次のコマンドを使用して SFCBD サービスを再起動します。
/etc/init.d/sfcbd-watchdog restart
ESXi の Authd サービス 902 での SSLv3 のサポートの有効化
- /etc/vmware/config ファイルのバックアップ コピーを作成します。
- /etc/vmware/config ファイルを編集して、ファイルの最後に次の行を追加します。
vmauthd.ssl.noSSLv3 = false
注: ファイルに行 vmauthd.ssl.noSSLv3 = true がある場合は、vmauthd.ssl.noSSLv3 = false に変更します。
例:
[root@w1-fiqabj-003:~] cat /etc/vmware/config
libdir = "/usr/lib/VMware"
authd.proxy.nfc = "vmware-hostd:ha-nfc"
authd.proxy.nfcssl = "vmware-hostd:ha-nfcssl"
authd.proxy.vpxa-nfcssl = "vmware-vpxa:vpxa-nfcssl"
authd.proxy.vpxa-nfc = "vmware-vpxa:vpxa-nfc"
authd.fullpath = "/sbin/authd"
vmauthd.ssl.noSSLv3 = false
- 次のコマンドを使用して rhttpproxy サービスを再起動します。
/etc/init.d/rhttpproxy restart
ESXi 6.0 U1b 以降のバージョンでの SSLv3 を有効化する手順は次のステップに従ってください。
デフォルトで SSLv3 は無効化になっています。 sslv3 を有効にするには、次のコマンドを実行して設定を空白にします。
- SSH を使用して ESXi にログインします。
- authd で無効になっているプロトコルを取得するコマンドは、次のとおりです。
esxcli system settings advanced list -o /UserVars/VMAuthdDisabledProtocols
Path: /UserVars/VMAuthdDisabledProtocols
Type: string
Int Value: 0
Default Int Value: 0
Min Value: 0
Max Value: 0
String Value:sslv3
Default String Value: sslv3
Valid Characters: *
Description: VMAuthd disabled protocols. Choices are sslv3, tlsv1, tlsv1.1, tlsv1.2. By default sslv3 is disabled. If no protocol is specified, all protocols are enabled.
- デフォルト設定の SSLv3 が無効になっていれば、次のコマンドを実行して有効にします。
esxcli system settings advanced set -o /UserVars/VMAuthdDisabledProtocols -s ""
- rhttpproxy サービスを再起動します。
/etc/init.d/rhttpproxy restart
- authd で SSLv3 が有効になったプロトコルを取得するコマンドは、次のとおりです。
esxcli system settings advanced list -o /UserVars/VMAuthdDisabledProtocols
Path: /UserVars/VMAuthdDisabledProtocols
Type: string
Int Value: 0
Default Int Value: 0
Min Value: 0
Max Value: 0
String Value:
Default String Value: sslv3
Valid Characters: *
Description: VMAuthd disabled protocols. Choices are sslv3, tlsv1, tlsv1.1, tlsv1.2. By default sslv3 is disabled. If no protocol is specified, all protocols are enabled.
Additional Information
Feedback
