vRealize Operations Manager deaktiviert SSLv3 standardmäßig. Sie müssen schwache Protokolle in jedem Load Balancer deaktivieren, bevor das System in einer Produktionsumgebung eingesetzt wird.

Prozedur

  1. Überprüfen Sie, ob die Protokolle aktiviert sind. Führen Sie auf jedem Knoten die folgenden Befehle aus, um zu überprüfen, ob die Protokolle aktiviert sind:
    grep cluster-ssl-protocol /usr/lib/vmware-vcops/user/conf/gemfire.properties | grep -v '#'

    Das folgende Ergebnis wird erwartet:

    cluster-ssl-protocols=TLSv1.2 TLSv1.1 TLSv1
    grep cluster-ssl-protocol /usr/lib/vmware-vcops/user/conf/gemfire.native.properties | grep -v '#'

    Das folgende Ergebnis wird erwartet:

    cluster-ssl-protocols=TLSv1.2 TLSv1.1 TLSv1
    grep cluster-ssl-protocol /usr/lib/vmware-vcops/user/conf/gemfire.locator.properties | grep -v '#'

    Das folgende Ergebnis wird erwartet:

    cluster-ssl-protocols=TLSv1.2 TLSv1.1 TLSv1

  2. Deaktivieren Sie TLS 1.0.
    1. Navigieren Sie zur Administrator-Benutzeroberfläche unter url/admin.
    2. Klicken Sie auf Offline stellen.
    3. Führen Sie die folgenden Befehle aus, um SSLv3 und TLS 1.0 zu deaktivieren:
      sed -i "/^[^#]*cluster-ssl-protocol/ c\cluster-ssl-protocols=TLSv1.2 
      TLSv1.1" /usr/lib/vmware-vcops/user/conf/gemfire.properties
      sed -i "/^[^#]*cluster-ssl-protocol/ c\cluster-ssl-protocols=TLSv1.2 
      TLSv1.1" /usr/lib/vmware-vcops/user/conf/gemfire.native.properties
      sed -i "/^[^#]*cluster-ssl-protocol/ c\cluster-ssl-protocols=TLSv1.2 
      TLSv1.1" /usr/lib/vmware-vcops/user/conf/gemfire.locator.properties

      Wiederholen Sie für jeden Knoten diesen Schritt.

    4. Navigieren Sie zur Administrator-Benutzeroberfläche.
    5. Klicken Sie auf Online stellen.
  3. Aktivieren Sie TLS 1.0 wieder.
    1. Navigieren Sie zur Administrator-Benutzeroberfläche unter url/admin, um den Cluster offline zu stellen.
    2. Klicken Sie auf Offline stellen.
    3. Führen Sie die folgenden Befehle aus, um sicherzustellen, dass SSLv3 und TLS 1.0 deaktiviert sind:
      sed -i "/^[^#]*cluster-ssl-protocol/ c\cluster-ssl-protocols=TLSv1.2 TLSv1.1 
      TLSv1" /usr/lib/vmware-vcops/user/conf/gemfire.properties 
      sed -i "/^[^#]*cluster-ssl-protocol/ c\cluster-ssl-protocols=TLSv1.2 TLSv1.1 
      TLSv1" /usr/lib/vmware-vcops/user/conf/gemfire.native.properties
      sed -i "/^[^#]*cluster-ssl-protocol/ c\cluster-ssl-protocols=TLSv1.2 TLSv1.1 
      TLSv1" /usr/lib/vmware-vcops/user/conf/gemfire.locator.properties
      				  

      Wiederholen Sie diesen Schritt für jeden Knoten.

    4. Navigieren Sie zur Administrator-Benutzeroberfläche, um den Cluster online zu stellen.
    5. Klicken Sie auf Online stellen.