Überprüfen Sie die Verschlüsselungen im vRealize Automation-Appliance-RabbitMQ-Dienst anhand der Liste der zulässigen Verschlüsselungen und deaktivieren Sie alle schwachen Verschlüsselungen.

Warum und wann dieser Vorgang ausgeführt wird

Deaktivieren Sie Verschlüsselungs-Suites, die keine Authentifizierung bieten, wie NULL-Verschlüsselungs-Suites, aNULL oder eNULL. Deaktivieren Sie auch anonymen Diffie-Hellman-Schlüsselaustausch (ADH), Export Level Cipher-Instanzen (EXP, Verschlüsselungen, die DES enthalten), Schlüsselgrößen unter 128 Bit für die Verschlüsselung von Nutzlast-Datenverkehr, die Verwendung von MD5 als Hashing-Mechanismus für Nutzlast-Datenverkehr, IDEA-Verschlüsselungs-Suites und RC4-Verschlüsselungs-Suites.

Prozedur

  1. Überprüfen Sie die unterstützten Verschlüsselungs-Suites, indem Sie den Befehl # /usr/sbin/rabbitmqctl eval 'ssl:cipher_suites().' ausführen.

    Die im folgenden Beispiel zurückgegebenen Verschlüsselungen stellen nur die unterstützten Verschlüsselungen dar. Der RabbitMQ-Server verwendet diese Verschlüsselungen nicht bzw. kündigt diese nicht an, es sei denn, diese Vorgehensweise ist in der Datei rabbitmq.config konfiguriert.

    ["ECDHE-ECDSA-AES256-GCM-SHA384","ECDHE-RSA-AES256-GCM-SHA384",
     "ECDHE-ECDSA-AES256-SHA384","ECDHE-RSA-AES256-SHA384",
     "ECDH-ECDSA-AES256-GCM-SHA384","ECDH-RSA-AES256-GCM-SHA384",
     "ECDH-ECDSA-AES256-SHA384","ECDH-RSA-AES256-SHA384",
     "DHE-RSA-AES256-GCM-SHA384","DHE-DSS-AES256-GCM-SHA384",
     "DHE-RSA-AES256-SHA256","DHE-DSS-AES256-SHA256","AES256-GCM-SHA384",
     "AES256-SHA256","ECDHE-ECDSA-AES128-GCM-SHA256",
     "ECDHE-RSA-AES128-GCM-SHA256","ECDHE-ECDSA-AES128-SHA256",
     "ECDHE-RSA-AES128-SHA256","ECDH-ECDSA-AES128-GCM-SHA256",
     "ECDH-RSA-AES128-GCM-SHA256","ECDH-ECDSA-AES128-SHA256",
     "ECDH-RSA-AES128-SHA256","DHE-RSA-AES128-GCM-SHA256",
     "DHE-DSS-AES128-GCM-SHA256","DHE-RSA-AES128-SHA256","DHE-DSS-AES128-SHA256",
     "AES128-GCM-SHA256","AES128-SHA256","ECDHE-ECDSA-AES256-SHA",
     "ECDHE-RSA-AES256-SHA","DHE-RSA-AES256-SHA","DHE-DSS-AES256-SHA",
     "ECDH-ECDSA-AES256-SHA","ECDH-RSA-AES256-SHA","AES256-SHA",
     "ECDHE-ECDSA-DES-CBC3-SHA","ECDHE-RSA-DES-CBC3-SHA","EDH-RSA-DES-CBC3-SHA",
     "EDH-DSS-DES-CBC3-SHA","ECDH-ECDSA-DES-CBC3-SHA","ECDH-RSA-DES-CBC3-SHA",
     "DES-CBC3-SHA","ECDHE-ECDSA-AES128-SHA","ECDHE-RSA-AES128-SHA",
     "DHE-RSA-AES128-SHA","DHE-DSS-AES128-SHA","ECDH-ECDSA-AES128-SHA",
     "ECDH-RSA-AES128-SHA","AES128-SHA"]
    
  2. Wählen Sie die unterstützten Verschlüsselungen aus, die den Sicherheitsanforderungen Ihrer Organisation entsprechen.

    Um beispielsweise nur ECDHE-ECDSA-AES128-GCM-SHA256 & ECDHE-ECDSA-AES256-GCM-SHA384 zuzulassen, überprüfen Sie die Datei /etc/rabbitmq/rabbitmq.config und fügen Sie die folgende Zeile unter „ssl“ und „ssl_options“ hinzu.

    {ciphers, [“ECDHE-ECDSA-AES128-GCM-SHA256”, “ECDHE-ECDSA-AES256-GCM-SHA384”]}

  3. Starten Sie den RabbitMQ-Server mithilfe des folgenden Befehls neu.

    service rabbitmq-server restart