Назад | Перейти на главную страницу

Включение SSLv3 на ESXi 6.5

Кто-нибудь знает, как включить SSLv3 для vmauthd на ESXi 6.5? Старое приложение "vmware-vdiskmanager" по какой-то причине настаивает на его использовании, и я не могу использовать приложение из VDDK 6.5, потому что оно требует отпечатка сертификата SSL, но не дает возможности указать его из командной строки.

На ESXi 6.0 он работал нормально, но после обновления до 6.5 ESXi отклоняет соединение (сразу после получения SSL CLIENT HELLO). В журнале я вижу, что разрешен только tls1.2:

2017-02-27T19:51:51Z vmauthd[68626]: lib/ssl: protocol list tls1.2
2017-02-27T19:51:51Z vmauthd[68626]: lib/ssl: protocol list tls1.2 (openssl flags 0x17000000)
2017-02-27T19:51:51Z vmauthd[68626]: lib/ssl: cipher list !aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES

И действительно, он не распознает протокол, когда vdiskmanager пытается установить SSL:

2017-02-27T20:02:37Z vmauthd[68831]: Msg_SetLocaleEx: HostLocale=UTF-8 UserLocale=NULL
2017-02-27T20:02:37Z vmauthd[68831]: Could not expand environment variable HOME.
2017-02-27T20:02:37Z vmauthd[68831]: Could not expand environment variable HOME.
2017-02-27T20:02:37Z vmauthd[68831]: DictionaryLoad: Cannot open file "/usr/lib/vmware/config": No such file or directory.
2017-02-27T20:02:37Z vmauthd[68831]: DictionaryLoad: Cannot open file "~/.vmware/config": No such file or directory.
2017-02-27T20:02:37Z vmauthd[68831]: DictionaryLoad: Cannot open file "~/.vmware/preferences": No such file or directory.
2017-02-27T20:02:37Z vmauthd[68831]: lib/ssl: OpenSSL using FIPS_drbg for RAND
2017-02-27T20:02:37Z vmauthd[68831]: lib/ssl: protocol list tls1.2
2017-02-27T20:02:37Z vmauthd[68831]: lib/ssl: protocol list tls1.2 (openssl flags 0x17000000)
2017-02-27T20:02:37Z vmauthd[68831]: lib/ssl: cipher list !aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES
2017-02-27T20:02:37Z vmauthd[68831]: Connect from remote socket (10.5.0.3:51395).
2017-02-27T20:02:37Z vmauthd[68831]: Connect from 10.5.0.3
2017-02-27T20:02:37Z vmauthd[68831]: SSL Error: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol
2017-02-27T20:02:37Z vmauthd[68831]: recv() FAIL: 1.
2017-02-27T20:02:37Z vmauthd[68831]: VMAuthdSocketRead: read failed.  Closing socket for reading.
2017-02-27T20:02:37Z vmauthd[68831]: Read failed.

Я пробовал несколько способов изменить это, но безуспешно:

добавить "vmauthd.ssl.noSSLv3 =" false "" в / etc / vmware / config
установите "vmacore / ssl" в /etc/vmware/rhttpproxy/config.xml на "SSLv3, tls1.0, tls1.1, tls1.2"
удалить "sslv3" из / UserVars / ESXiVPsDisabledProtocols

Я схожу с ума, есть ли другой способ?

Спасибо

vmware-esxi

Вы об этом говорите:

Обратная совместимость TLS с vSphere 5.5U3. Если заказчик vSphere 6.5 устанавливает аутентификацию TLS v1.2 как обязательную, резервное копирование завершается ошибкой на хостах ESXi 5.5U3 и более ранних с ошибкой «Исключение SSL». Исправление заключается в обновлении этих хостов ESXi до 5.5U3e или новее. Обходной путь - изменить один из двух файлов конфигурации на прокси-сервере VDDK. Файл / etc / vmware / config или CommonAppDataFolder \ config.ini устанавливает весь прокси, тогда как $ USER / .vmware / config или% USERNAME% \ AppData \ config.ini устанавливает только одного пользователя. Добавьте в соответствующий файл следующую строку: tls.protocols = tls1.0, tls1.1, tls1.2

вырезан из https://vdc-download.vmware.com/vmwb-repository/dcr-public/ab4ca212-278a-4221-a4ce-4718dc9370d0/70a0a235-402a-4317-bc7a-b549de00ad3c/vsphere-vddk-65-release-notes. html