Überprüfen Sie die Verschlüsselungen im HA-Proxydienst für die vRealize Automation-Appliance anhand der Liste der zulässigen Verschlüsselungen und deaktivieren Sie alle schwachen Verschlüsselungen.

Warum und wann dieser Vorgang ausgeführt wird

Deaktivieren Sie Verschlüsselungs-Suites, die keine Authentifizierung bieten, wie NULL-Verschlüsselungs-Suites, aNULL oder eNULL. Deaktivieren Sie auch anonymen Diffie-Hellman-Schlüsselaustausch (ADH), Export Level Cipher-Instanzen (EXP, Verschlüsselungen, die DES enthalten), Schlüsselgrößen unter 128 Bit für die Verschlüsselung von Nutzlast-Datenverkehr, die Verwendung von MD5 als Hashing-Mechanismus für Nutzlast-Datenverkehr, IDEA-Verschlüsselungs-Suites und RC4-Verschlüsselungs-Suites.

Prozedur

  1. Überprüfen Sie die Verschlüsselungseintrag der Bind-Direktive in der Datei /etc/haproxy/conf.d/20-vcac.cfg und deaktivieren Sie alle schwachen Verschlüsselungen.

    bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tlsv10

  2. Überprüfen Sie die Verschlüsselungseintrag der Bind-Direktive in der Datei /etc/haproxy/conf.d/30-vro-config.cfg und deaktivieren Sie alle schwachen Verschlüsselungen.

    bind :8283 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tls10