Stellen Sie im Rahmen der Härtung sicher, dass die bereitgestellte vRealize Automation-Appliance sichere Übertragungskanäle verwendet.

Vorbereitungen

Führen Sie Aktivieren von TLS für die Localhost-Konfiguration durch.

Prozedur

  1. Stellen Sie sicher, dass SSLv3 in den HAProxy-https-Handlern auf der vRealize Automation-Appliance deaktiviert ist.

    Überprüfen Sie diese Datei

    Stellen Sie sicher, dass folgender Inhalt

    in der entsprechenden Zeile wie dargestellt vorhanden ist

    /etc/haproxy/conf.d/20-vcac.cfg

    no-sslv3

    bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tlsv10

    /etc/haproxy/conf.d/30-vro-config.cfg

    no-sslv3

    bind :8283 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tlsv10

  2. Öffnen Sie die Datei /opt/vmware/etc/lighttpd/lighttpd.conf und stellen Sie sicher, dass die richtigen deaktivieren Einträge angezeigt werden.
    ssl.use-sslv2 = "disable"
    ssl.use-sslv3 = "disable"
  3. Stellen Sie sicher, dass SSLv3 für den Konsolen-Proxy in vRealize Automation-Appliance deaktiviert ist.
    1. Bearbeiten Sie die Datei /etc/vcac/security.properties, indem Sie die folgende Zeile hinzufügen oder ändern:

      consoleproxy.ssl.server.protocols = TLSv1.2, TLSv1.1

    2. Starten Sie den Server neu, indem Sie den folgenden Befehl ausführen:

      service vcac-server restart

  4. Stellen Sie sicher, dass SSLv3 für den vCO-Dienst deaktiviert ist.
    1. Suchen Sie das Tag <Connector> in der Datei /etc/vco/app-server/server.xml und fügen Sie das folgende Attribut hinzu:

      sslEnabledProtocols = "TLSv1.1,TLSv1.2"

    2. Starten Sie den vCO-Dienst neu, indem Sie den folgenden Befehl ausführen.

      service vco-server restart

  5. Stellen Sie sicher, dass SSLv3 für den vRealize Automation-Dienst deaktiviert ist.
    1. Fügen Sie die folgenden Attribute zum Tag <Connector> in der Datei /etc/vcac/server.xml hinzu.

      sslEnabledProtocols = "TLSv1.1,TLSv1.2"

    2. Starten Sie den vRealize Automation-Dienst neu, indem Sie den folgenden Befehl ausführen:

      service vcac-server restart

  6. Stellen Sie sicher, dass SSLv3 für RabbitMQ deaktiviert ist.

    Öffnen Sie die Datei /etc/rabbitmq/rabbitmq.config und stellen Sie sicher, dass {versions, ['tlsv1.2', 'tlsv1.1']} in den Abschnitten „ssl“ und „ssl_options“ deaktiviert ist.

    [
      {ssl, [
          {versions, ['tlsv1.2', 'tlsv1.1']},
          {ciphers, ["AES256-SHA", "AES128-SHA"]}
      ]},
       {rabbit, [
          {tcp_listeners, [{"127.0.0.1", 5672}]},
          {frame_max, 262144},
          {ssl_listeners, [5671]},
          {ssl_options, [
             {cacertfile, "/etc/rabbitmq/certs/ca/cacert.pem"},
             {certfile, "/etc/rabbitmq/certs/server/cert.pem"},
             {keyfile, "/etc/rabbitmq/certs/server/key.pem"},
             {versions, ['tlsv1.2', 'tlsv1.1']},
             {ciphers, ["AES256-SHA", "AES128-SHA"]},
             {verify, verify_peer},
             {fail_if_no_peer_cert, false}
          ]},
          {mnesia_table_loading_timeout,600000},
          {cluster_partition_handling, autoheal},
          {heartbeat, 600}
       ]},
       {kernel, [{net_ticktime,  120}]}
    ].
    
  7. Starten Sie den RabbitMQ-Server neu, indem Sie den folgenden Befehl ausführen:

    # service rabbitmq-server restart

  8. Stellen Sie sicher, dass SSLv3 für den vIDM-Dienst deaktiviert ist.

    Öffnen Sie die Datei /opt/vmware/horizon/workspace/config/server.xml für jede Instanz des Konnektors, die SSLEnabled="true" enthält, und stellen Sie sicher, dass die folgende Zeile vorhanden ist.

    sslEnabledProtocols="TLSv1.1,TLSv1.2"