在相应的 vRealize Automation 组件中禁用 TLS 1.0。

关于此任务

没有任何指令用于在 Lighttpd 中禁用 TLS 1.0。通过强制 OpenSSL 不使用 TLS 1.0 密码套件,可以局部缓解对 TLS 1.0 的使用限制,如下述步骤 2 所述。

过程

  1. vRealize Automation 设备上的 HAProxy https 处理程序中禁用 TLS 1.0。
    1. no-tlsv10 附加到 /etc/haproxy/conf.d/20-vcac.cfg 文件中以下条目的末尾。

      bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tlsv10

    2. 将 no-tlsv10 附加到 /etc/haproxy/conf.d/30-vro-config.cfg 文件中以下条目的末尾。

      bind :8283 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tls10

    注:

    要重新启用 TLS 1.0,请从绑定指令中移除 no-tlsv10

  2. 在 Lighttpd 中确认 OpenSSL 不使用 TLS 1.0 密码套件
    1. 编辑 /opt/vmware/etc/lighttpd/lighttpd.conf 文件中的 ssl.cipher-list 行,如下所示。
      ssl.cipher-list = "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256"
    2. 使用以下命令重新启动 lighttpd:

      service vami-lighttp restart

  3. vRealize Automation 设备上针对控制台代理禁用 TLS 1.0。
    1. /etc/vcac/security.properties 文件中添加或修改以下行。

      consoleproxy.ssl.server.protocols = TLSv1.2, TLSv1.1

    2. 通过运行以下命令重新启动服务器︰

      service vcac-server restart

    注:

    要重新启用 TLS 1.0,请按如下所示忽略 TLSv1,然后重新启动 vcac-server 服务:

    consoleproxy.ssl.server.protocols = TLSv1.2,TLSv1.1

  4. 对 vCO 服务禁用 TLS 1.0。
    1. /etc/vco/app/server/server.xml 文件中找到 <Connector> 标记,并向其添加以下属性:

      sslEnabledProtocols = "TLSv1.1,TLSv1.2"

    2. 通过运行以下命令重新启动 vCO 服务:

      service vco-server restart

  5. vRealize Automation 服务禁用 TLS 1.0。
    1. /etc/vcac/server.xml 文件中找到 <Connector> 标记,并向其添加以下属性:

      sslEnabledProtocols = "TLSv1.1,TLSv1.2"

    2. 通过运行以下命令重新启动 vRealize Automation 服务。

      service vcac-server restart

    注:

    要重新启用 TLS 1.0,请将 TLSv1 添加到 sslEnabledProtocols。例如,sslEnabledProtocols = "TLSv1.1,TLSv1.2,TLSv1"

  6. 对 RabbitMQ 禁用 TLS 1.0。
    1. 打开 /etc/rabbitmq/rabbitmq.config 文件,并确认已将 tlsv1.2 和 tlsv1.1 添加到 ssl 和 ssl_options 部分,如下述示例所示。
      [
         {ssl, [
            {versions, ['tlsv1.2', 'tlsv1.1']},
            {ciphers, ["AES256-SHA", "AES128-SHA"]}
         ]},
         {rabbit, [
            {tcp_listeners, [{"127.0.0.1", 5672}]},
            {frame_max, 262144},
            {ssl_listeners, [5671]},
            {ssl_options, [
               {cacertfile, "/etc/rabbitmq/certs/ca/cacert.pem"},
               {certfile, "/etc/rabbitmq/certs/server/cert.pem"},
               {keyfile, "/etc/rabbitmq/certs/server/key.pem"},
               {versions, ['tlsv1.2', 'tlsv1.1']},
               {ciphers, ["AES256-SHA", "AES128-SHA"]},
               {verify, verify_peer},
               {fail_if_no_peer_cert, false}
            ]},
            {mnesia_table_loading_timeout,600000},
            {cluster_partition_handling, autoheal},
            {heartbeat, 600}
         ]},
         {kernel, [{net_ticktime,  120}]}
      ].
    2. 通过运行以下命令重新启动 RabbitMQ 服务器︰

      # service rabbitmq-server restart