默认情况下,某些 localhost 通信不使用 TLS。为了增强安全性,您可以在所有 localhost 连接中启用 TLS。

关于此任务

过程

  1. 使用 SSH 连接到 vRealize Automation 设备
  2. 通过运行以下命令为 vcac 密钥库设置权限。
    chown vcac.pivotal /etc/vcac/vcac.keystore
    chmod 640 /etc/vcac/vcac.keystore
    
  3. 更新 HAProxy 配置。
    1. 找到包含以下字符串的行:

      server local 127.0.0.1…,然后将以下内容添加到此类行的末尾:ssl verify none

      本部分包含其他行,如下所示:

      backend-horizon

      backend-vro

      backend-vra

      backend-artifactory

      backend-vra-health

    2. 将 backend-horizon 端口从 8080 更改为 8443。
  4. 获取 keystorePass 的密码。
    1. /etc/vcac/security.properties 文件中找到 certificate.store.password 属性。

      例如,certificate.store.password=s2enc~iom0GXATG+RB8ff7Wdm4Bg==

    2. 使用以下命令解密值:

      vcac-config prop-util -d --p VALUE

      例如,vcac-config prop-util -d --p s2enc~iom0GXATG+RB8ff7Wdm4Bg==

  5. 配置 vRealize Automation 服务
    1. 打开 /etc/vcac/server.xml 文件。
    2. 将以下属性添加到 Connector 标记,使用在 etc/vcac/security.properties 中找到的证书存储密码值替换 certificate.store.password。
      scheme=”https” secure=”true” SSLEnabled=”true” sslProtocol=”TLS” keystoreFile=”/etc/vcac/vcac.keystore” keyAlias=”apache” keystorePass=”certificate.store.password”
  6. 配置 vRealize Orchestrator 服务。
    1. 打开 /etc/vco/app/server.xml 文件
    2. 将以下属性添加到 Connector 标记,使用在 etc/vcac/security.properties 中找到的证书存储密码值替换 certificate.store.password。
      scheme=”https” secure=”true” SSLEnabled=”true” sslProtocol=”TLS” keystoreFile=”/etc/vcac/vcac.keystore” keyAlias=”apache” keystorePass=”certificate.store.password”
  7. 重新启动 vRealize OrchestratorvRealize Automation 和 haproxy 服务。
    service vcac-server restart
    service vco-server restart 
    service haproxy restart
  8. 配置虚拟设备管理界面。
    1. 打开 /opt/vmware/share/htdocs/service/café-services/services.py 文件。
    2. conn = httplib.HTTP() 行更改为 conn = httplib.HTTPS() 以增强安全性。