Deaktivieren Sie TLS 1.0 in den entsprechenden vRealize Automation-Komponenten.

Warum und wann dieser Vorgang ausgeführt wird

Es gibt keine Direktive zur Deaktivierung von TLS 1.0 in Lighttpd. Die Beschränkung bei der Verwendung von TLS 1.0 kann teilweise verringert werden, indem erzwungen wird, dass OpenSSL keine Verschlüsselungen von TLS 1.0 verwendet (wie in Schritt 2 unten beschrieben).

Prozedur

  1. Deaktivieren Sie TLS 1.0 im HAProxy-Https-Handler auf der vRealize Automation-Appliance.
    1. Fügen Sie den Eintrag no-tlsv10 am Ende des folgenden Eintrags in der Datei /etc/haproxy/conf.d/20-vcac.cfg an.

      bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tlsv10

    2. Fügen Sie „no-tlsv10“ am Ende des folgenden Eintrags in der Datei /etc/haproxy/conf.d/30-vro-config.cfg an.

      bind :8283 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tls10

    Anmerkung:

    Um TLS 1.0 erneut zu aktivieren, entfernen Sie no-tlsv10 aus der Bind-Direktive.

  2. Vergewissern Sie sich in Lighttpd, dass OpenSSL keine Verschlüsselungen von TLS 1.0 verwendet.
    1. Bearbeiten Sie die Zeile ssl.cipher-list in der Datei /opt/vmware/etc/lighttpd/lighttpd.conf wie folgt.
      ssl.cipher-list = "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256"
    2. Starten Sie Lighttpd mithilfe des folgenden Befehls neu:

      service vami-lighttp restart

  3. Deaktivieren Sie TLS 1.0 für den Konsolen-Proxy auf der vRealize Automation-Appliance.
    1. Fügen Sie die folgende Zeile in der Datei /etc/vcac/security.properties hinzu, oder ändern Sie sie.

      consoleproxy.ssl.server.protocols = TLSv1.2, TLSv1.1

    2. Starten Sie den Server neu, indem Sie den folgenden Befehl ausführen:

      service vcac-server restart

    Anmerkung:

    Um TLS 1.0 erneut zu aktivieren, fügen Sie TLSv1 wie folgt hinzu und starten Sie den vcac-server-Dienst neu:

    consoleproxy.ssl.server.protocols = TLSv1.2,TLSv1.1, TLSv1

  4. Deaktivieren Sie TLS 1.0 für den vCO-Dienst.
    1. Suchen Sie das Tag <Connector> in der Datei /etc/vco/app/server/server.xml und fügen Sie ihm das folgende Attribut hinzu:

      sslEnabledProtocols = "TLSv1.1,TLSv1.2"

    2. Starten Sie den Dienst neu, indem Sie den folgenden Befehl ausführen:

      service vco-server restart

  5. Deaktivieren Sie TLS 1.0 für den vRealize Automation-Dienst.
    1. Suchen Sie das Tag <Connector> in der Datei /etc/vcac/server.xml und fügen Sie das folgende Attribut hinzu:

      sslEnabledProtocols = "TLSv1.1,TLSv1.2"

    2. Führen Sie die folgenden Befehle aus, um den vRealize Automation-Dienst neu zu starten.

      service vcac-server restart

    Anmerkung:

    Fügen Sie TLSv1 zu „sslEnabledProtocols“ hinzu, um TLS 1.0 erneut zu aktivieren. Beispielsweise sslEnabledProtocols = "TLSv1.1,TLSv1.2,TLSv1"

  6. Deaktivieren Sie TLS 1.0 für RabbitMQ.
    1. Öffnen Sie die Datei /etc/rabbitmq/rabbitmq.config und stellen Sie sicher, dass „tlsv1.2“ und „tlsv1.1“ zu den Abschnitten „ssl“ und „ssl_options“ hinzugefügt wurden, wie im folgenden Beispiel dargestellt.
      [
         {ssl, [
            {versions, ['tlsv1.2', 'tlsv1.1']},
            {ciphers, ["AES256-SHA", "AES128-SHA"]}
         ]},
         {rabbit, [
            {tcp_listeners, [{"127.0.0.1", 5672}]},
            {frame_max, 262144},
            {ssl_listeners, [5671]},
            {ssl_options, [
               {cacertfile, "/etc/rabbitmq/certs/ca/cacert.pem"},
               {certfile, "/etc/rabbitmq/certs/server/cert.pem"},
               {keyfile, "/etc/rabbitmq/certs/server/key.pem"},
               {versions, ['tlsv1.2', 'tlsv1.1']},
               {ciphers, ["AES256-SHA", "AES128-SHA"]},
               {verify, verify_peer},
               {fail_if_no_peer_cert, false}
            ]},
            {mnesia_table_loading_timeout,600000},
            {cluster_partition_handling, autoheal},
            {heartbeat, 600}
         ]},
         {kernel, [{net_ticktime,  120}]}
      ].
    2. Starten Sie den RabbitMQ-Server neu, indem Sie den folgenden Befehl ausführen:

      # service rabbitmq-server restart