Compare as cifras do serviço de HA Proxy do appliance do vRealize Automation com a lista de cifras aceitáveis e desative todas aquelas consideradas fracas.

Desative pacotes de codificação que não ofereçam autenticação, como pacotes de codificação NULL, aNULL ou eNULL. Além disso, desative a troca de chaves Diffie-Hellman anônima (ADH), a codificação de nível de exportação (EXP, codificação contendo DES), os tamanhos de chave menores de 128 bits para criptografar tráfego de carga, o uso do MD5 como mecanismo de hashing para tráfego de carga, os pacotes de codificação IDEA e os pacotes de codificação RC4.

Procedimento

  1. Consulte a entrada de cifras no arquivo /etc/haproxy/conf.d/20-vcac.cfg da diretiva vinculante e desative todas as que são consideradas fracas.

    bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11

  2. Consulte a entrada de cifras no arquivo /etc/haproxy/conf.d/30-vro-config.cfg da diretiva vinculante e desative todas as que são consideradas fracas.

    bind :::8283 v4v6 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11