11.2. Affichage des détails du profil de sécurité TLS
Vous pouvez afficher la version TLS minimale et les algorithmes de chiffrement pour les profils de sécurité TLS prédéfinis pour chacun des composants suivants : Contrôleur d'entrée, plan de contrôle et kubelet.
La configuration effective de la version minimale de TLS et de la liste des algorithmes de chiffrement pour un profil peut varier d'un composant à l'autre.
Procédure
Afficher les détails d'un profil de sécurité TLS spécifique :
oc explain <component>.spec.tlsSecurityProfile.<profile> 1
- 1
- Pour
<component>
, indiquezingresscontroller
,apiserver
, oukubeletconfig
. Pour<profile>
, indiquezold
,intermediate
, oucustom
.
Par exemple, pour vérifier les algorithmes de chiffrement inclus dans le profil
intermediate
pour le plan de contrôle :$ oc explain apiserver.spec.tlsSecurityProfile.intermediate
Exemple de sortie
KIND: APIServer VERSION: config.openshift.io/v1 DESCRIPTION: intermediate is a TLS security profile based on: https://wiki.mozilla.org/Security/Server_Side_TLS#Intermediate_compatibility_.28recommended.29 and looks like this (yaml): ciphers: - TLS_AES_128_GCM_SHA256 - TLS_AES_256_GCM_SHA384 - TLS_CHACHA20_POLY1305_SHA256 - ECDHE-ECDSA-AES128-GCM-SHA256 - ECDHE-RSA-AES128-GCM-SHA256 - ECDHE-ECDSA-AES256-GCM-SHA384 - ECDHE-RSA-AES256-GCM-SHA384 - ECDHE-ECDSA-CHACHA20-POLY1305 - ECDHE-RSA-CHACHA20-POLY1305 - DHE-RSA-AES128-GCM-SHA256 - DHE-RSA-AES256-GCM-SHA384 minTLSVersion: TLSv1.2
Afficher tous les détails du champ
tlsSecurityProfile
d'un composant :oc explain <component>.spec.tlsSecurityProfile 1
- 1
- Pour
<component>
, spécifiezingresscontroller
,apiserver
, oukubeletconfig
.
Par exemple, pour vérifier tous les détails du champ
tlsSecurityProfile
pour le contrôleur d'entrée :$ oc explain ingresscontroller.spec.tlsSecurityProfile
Exemple de sortie
KIND: IngressController VERSION: operator.openshift.io/v1 RESOURCE: tlsSecurityProfile <Object> DESCRIPTION: ... FIELDS: custom <> custom is a user-defined TLS security profile. Be extremely careful using a custom profile as invalid configurations can be catastrophic. An example custom profile looks like this: ciphers: - ECDHE-ECDSA-CHACHA20-POLY1305 - ECDHE-RSA-CHACHA20-POLY1305 - ECDHE-RSA-AES128-GCM-SHA256 - ECDHE-ECDSA-AES128-GCM-SHA256 minTLSVersion: TLSv1.1 intermediate <> intermediate is a TLS security profile based on: https://wiki.mozilla.org/Security/Server_Side_TLS#Intermediate_compatibility_.28recommended.29 and looks like this (yaml): ... 1 modern <> modern is a TLS security profile based on: https://wiki.mozilla.org/Security/Server_Side_TLS#Modern_compatibility and looks like this (yaml): ... 2 NOTE: Currently unsupported. old <> old is a TLS security profile based on: https://wiki.mozilla.org/Security/Server_Side_TLS#Old_backward_compatibility and looks like this (yaml): ... 3 type <string> ...