Überprüfen Sie die Verschlüsselungen im vRealize Automation-Appliance-Konsolenproxydienst anhand der Liste der zulässigen Verschlüsselungen und deaktivieren Sie alle schwachen Verschlüsselungen.

Warum und wann dieser Vorgang ausgeführt wird

Deaktivieren Sie Verschlüsselungs-Suites, die keine Authentifizierung bieten, wie NULL-Verschlüsselungs-Suites, aNULL oder eNULL. Deaktivieren Sie auch anonymen Diffie-Hellman-Schlüsselaustausch (ADH), Export Level Cipher-Instanzen (EXP, Verschlüsselungen, die DES enthalten), Schlüsselgrößen unter 128 Bit für die Verschlüsselung von Nutzlast-Datenverkehr, die Verwendung von MD5 als Hashing-Mechanismus für Nutzlast-Datenverkehr, IDEA-Verschlüsselungs-Suites und RC4-Verschlüsselungs-Suites.

Prozedur

  1. Öffnen Sie die Datei /etc/vcac/security.properties in einem Texteditor.
  2. Fügen Sie eine Zeile zur Datei hinzu, um die unerwünschten Verschlüsselungen zu deaktivieren.

    Verwenden Sie eine Variante der folgenden Zeile:

    consoleproxy.ssl.ciphers.disallowed=cipher_suite_1, cipher_suite_2 usw.

    Um zum Beispiel die AES-128-Verschlüsselungen zu deaktivieren, fügen Sie die folgende Zeile hinzu:

    consoleproxy.ssl.ciphers.disallowed=TLS_DH_DSS_WITH_AES_128_CBC_SHA, TLS_DH_DSS_WITH_AES_256_CBC_SHA, TLS_DH_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA 
  3. Starten Sie den Server mit nachfolgend aufgeführtem Befehl neu.

    servicce vcac-server restart