在强化过程中,确保部署的 vRealize Automation 设备 使用安全传输通道。

过程

  1. 确认 vRealize Automation 设备上的 HAProxy https 处理程序已禁用 SSLv3。

    查看以下文件

    确保存在以下内容

    在下述相应行中

    /etc/haproxy/conf.d/20-vcac.cfg

    no-sslv3

    bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3

    /etc/haproxy/conf.d/30-vro-config.cfg

    no-sslv3

    bind :8283 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3

  2. 打开 /etc/apache2/vhosts.d/vcac.conf 文件,并确认显示 SSLProtocol all -SSLv2 -SSLv3 条目。
  3. 打开 /opt/vmware/etc/lighttpd/lighttpd.conf 文件,并确认显示正确的禁用条目。
    ssl.use-sslv2 = "disable"
    ssl.use-sslv3 = "disable"
  4. 确认已在 vRealize Automation 设备上针对控制台代理禁用 SSLv2 和 SSLv3。
    1. 通过添加或修改以下行编辑 /etc/vcac/security.properties 文件︰

      consoleproxy.ssl.server.protocols = TLSv1.2, TLSv1.1, TLSv1

    2. 通过运行以下命令重新启动服务器︰

      service vcac-server restart

  5. 确认已针对 vCO 服务禁用 SSLv3。
    1. /etc/vco/app-server/server.xml 文件中找到 <Connector> 标记,并添加以下属性︰

      sslEnabledProtocols = "TLSv1.1,TLSv1.2,TLSv1"

    2. 通过运行以下命令重新启动 vCO 服务。

      service vco-server restart

  6. 确认已针对 vRealize Automation 服务禁用 SSLv3。
    1. 将以下属性添加到 /etc/vcac/server.xml 文件内的 <Connector> 标记中

      sslEnabledProtocols = "TLSv1.1,TLSv1.2,TLSv1"

    2. 通过运行以下命针对令重新启动 vRealize Automation 服务:

      service vcac-server restart

  7. 确认已针对 RabbitMQ 禁用 SSLv3。

    打开 /etc/rabbitmq/rabbitmq.config 文件,并确认 ssl 和 ssl_options 部分显示 {versions, ['tlsv1.2', 'tlsv1.1']}

    [
      {ssl, [
          {versions, ['tlsv1.2', 'tlsv1.1']},
          {ciphers, ["AES256-SHA", "AES128-SHA"]}
      ]},
       {rabbit, [
          {tcp_listeners, [{"127.0.0.1", 5672}]},
          {frame_max, 262144},
          {ssl_listeners, [5671]},
          {ssl_options, [
             {cacertfile, "/etc/rabbitmq/certs/ca/cacert.pem"},
             {certfile, "/etc/rabbitmq/certs/server/cert.pem"},
             {keyfile, "/etc/rabbitmq/certs/server/key.pem"},
             {versions, ['tlsv1.2', 'tlsv1.1']},
             {ciphers, ["AES256-SHA", "AES128-SHA"]},
             {verify, verify_peer},
             {fail_if_no_peer_cert, false}
          ]},
          {mnesia_table_loading_timeout,600000},
          {cluster_partition_handling, autoheal},
          {heartbeat, 600}
       ]},
       {kernel, [{net_ticktime,  120}]}
    ].
    
  8. 通过运行以下命令重新启动 RabbitMQ 服务器︰

    # service rabbitmq-server restart

  9. 确认已针对 vIDM 服务禁用 SSLv3。

    针对包含 SSLEnabled="true" 的连接器的每个实例,打开 /opt/vmware/horizon/workspace/config/server.xml 文件,并确保存在以下行。

    sslEnabledProtocols="TLSv1.1,TLSv1.2"