Compare as cifras do serviço de HA Proxy do appliance do vRealize Automation com a lista de cifras aceitáveis e desative todas aquelas consideradas fracas.

Por Que e Quando Desempenhar Esta Tarefa

Desative pacotes de codificação que não ofereçam autenticação, como pacotes de codificação NULL, aNULL ou eNULL. Além disso, desative a troca de chaves Diffie-Hellman anônima (ADH), a codificação de nível de exportação (EXP, codificação contendo DES), os tamanhos de chave menores de 128 bits para criptografar tráfego de carga, o uso do MD5 como mecanismo de hashing para tráfego de carga, os pacotes de codificação IDEA e os pacotes de codificação RC4.

Procedimento

  1. Consulte a entrada de cifras no arquivo /etc/haproxy/conf.d/20-vcac.cfg da diretiva vinculante e desative todas as que são consideradas fracas.

    bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tlsv10

  2. Consulte a entrada de cifras no arquivo /etc/haproxy/conf.d/30-vro-config.cfg da diretiva vinculante e desative todas as que são consideradas fracas.

    bind :8283 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tls10