Stellen Sie im Rahmen der Härtung sicher, dass die bereitgestellte vRealize Automation-Appliance sichere Übertragungskanäle verwendet.

Voraussetzungen

Führen Sie Aktivieren von TLS für die Localhost-Konfiguration durch.

Prozedur

  1. Stellen Sie die Deaktivierung von SSLv3, TLS 1.0 und TLS 1.1 in den HAProxy-HTTP-Handlern auf der vRealize Automation-Appliance sicher.

    Überprüfen Sie diese Datei

    Stellen Sie sicher, dass folgender Inhalt

    in der entsprechenden Zeile wie dargestellt vorhanden ist

    /etc/haproxy/conf.d/20-vcac.cfg

    no-sslv3 no-tlsv10 no-tls11 force-tls12

    bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11

    /etc/haproxy/conf.d/30-vro-config.cfg

    no-sslv3 no-tlsv10 no-tls11 force-tls12

    bind :::8283 v4v6 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11

  2. Starten Sie den Dienst neu.
    service haproxy restart
  3. Öffnen Sie die Datei /opt/vmware/etc/lighttpd/lighttpd.conf und stellen Sie sicher, dass die richtigen deaktivieren Einträge angezeigt werden.
    Anmerkung:

    Es gibt keine Direktive zur Deaktivierung von TLS 1.0 oder TLS 1.1 in Lighttpd. Die Beschränkung für die Verwendung von TLS 1.0 und TLS 1.1 kann teilweise abgeschwächt werden, indem erzwungen wird, dass OpenSSL keine Verschlüsselungen von TLS 1.0 und TLS 1.1 verwendet.

    ssl.use-sslv2 = "disable"
    ssl.use-sslv3 = "disable"
  4. Stellen Sie die Deaktivierung von SSLv3, TLS 1.0 und TLS 1.1 für den Konsolenproxy auf der vRealize Automation-Appliance sicher.
    1. Bearbeiten Sie die Datei /etc/vcac/security.properties, indem Sie die folgende Zeile hinzufügen oder ändern:

      consoleproxy.ssl.server.protocols = TLSv1.2

    2. Starten Sie den Server neu, indem Sie den folgenden Befehl ausführen:

      service vcac-server restart

  5. Vergewissern Sie sich, dass SSLv3, TLS 1.0 und TLS 1.1 für den vCO-Dienst deaktiviert ist.
    1. Suchen Sie das Tag <Connector> in der Datei /etc/vco/app-server/server.xml und fügen Sie das folgende Attribut hinzu:

      sslEnabledProtocols = "TLSv1.2"

    2. Starten Sie den vCO-Dienst neu, indem Sie den folgenden Befehl ausführen.

      service vco-server restart

  6. Vergewissern Sie sich, dass SSLv3, TLS 1.0 und TLS 1.1 für den vRealize Automation-Dienst deaktiviert ist.
    1. Fügen Sie die folgenden Attribute zum Tag <Connector> in der Datei /etc/vcac/server.xml hinzu.

      sslEnabledProtocols = "TLSv1.2"

    2. Starten Sie den vRealize Automation-Dienst neu, indem Sie den folgenden Befehl ausführen:

      service vcac-server restart

  7. Vergewissern Sie sich, dass SSLv3, TLS 1.0 und TLS 1.1 für RabbitMQ deaktiviert ist.

    Öffnen Sie die Datei /etc/rabbitmq/rabbitmq.config und stellen Sie sicher, dass {versions, ['tlsv1.2', 'tlsv1.1']} in den Abschnitten „ssl“ und „ssl_options“ deaktiviert ist.

    [
      {ssl, [
          {versions, ['tlsv1.2', 'tlsv1.1']},
          {ciphers, ["AES256-SHA", "AES128-SHA"]}
      ]},
       {rabbit, [
          {tcp_listeners, [{"127.0.0.1", 5672}]},
          {frame_max, 262144},
          {ssl_listeners, [5671]},
          {ssl_options, [
             {cacertfile, "/etc/rabbitmq/certs/ca/cacert.pem"},
             {certfile, "/etc/rabbitmq/certs/server/cert.pem"},
             {keyfile, "/etc/rabbitmq/certs/server/key.pem"},
             {versions, ['tlsv1.2', 'tlsv1.1']},
             {ciphers, ["AES256-SHA", "AES128-SHA"]},
             {verify, verify_peer},
             {fail_if_no_peer_cert, false}
          ]},
          {mnesia_table_loading_timeout,600000},
          {cluster_partition_handling, autoheal},
          {heartbeat, 600}
       ]},
       {kernel, [{net_ticktime,  120}]}
    ].
    
  8. Starten Sie den RabbitMQ-Server neu.

    # service rabbitmq-server restart

  9. Vergewissern Sie sich, dass SSLv3, TLS 1.0 und TLS 1.1 für den vIDM-Dienst deaktiviert ist.

    Öffnen Sie die Datei opt/vmware/horizon/workspace/conf/server.xml für jede Connector-Instanz, die SSLEnabled="true" enthält, und stellen Sie sicher, dass die folgende Zeile vorhanden ist.

    sslEnabledProtocols="TLSv1.2"