Deshabilite TLS 1.0 en los componentes de vRealize Automation correspondientes.

Por qué y cuándo se efectúa esta tarea

No hay ninguna directiva para deshabilitar TLS 1.0 en Lighttpd. La restricción en el uso de TLS 1.0 se puede mitigar de forma parcial obligando a OpenSSL a no utilizar los conjuntos de cifrados de TLS 1.0, tal como se describe a continuación en el paso 2.

Procedimiento

  1. Deshabilite TLS 1.0 en el controlador HTTPS de HAProxy en el el dispositivo de vRealize Automation.
    1. Añada no-tlsv10 al final de la siguiente entrada del archivo /etc/haproxy/conf.d/20-vcac.cfg.

      bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tlsv10

    2. Anexe no-tlsv10 al final de la siguiente entrada del archivo /etc/haproxy/conf.d/30-vro-config.cfg.

      bind :8283 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tls10

    Nota:

    Para volver a habilitar TLS 1.0, quite no-tlsv10 de la directiva de enlace.

  2. Compruebe en Lighttpd que OpenSSL no utilice los conjuntos de cifrados de TLS 1.0.
    1. Edite la línea ssl.cipher-list del archivo /opt/vmware/etc/lighttpd/lighttpd.conf de la siguiente manera.
      ssl.cipher-list = "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256"
    2. Reinicie Lighttpd mediante el siguiente comando:

      service vami-lighttp restart

  3. Deshabilite TLS 1.0 para el proxy de la consola en el el dispositivo de vRealize Automation.
    1. Agregue o modifique la siguiente línea del archivo /etc/vcac/security.properties:

      consoleproxy.ssl.server.protocols = TLSv1.2, TLSv1.1

    2. Reinicie el servidor ejecutando el siguiente comando:

      service vcac-server restart

    Nota:

    Para volver a habilitar TLS 1.0, omita TLSv1 de la siguiente manera y, a continuación, reinicie el servicio del servidor vCAC:

    consoleproxy.ssl.server.protocols = TLSv1.2,TLSv1.1

  4. Deshabilite TLS 1.0 para el servicio vCO.
    1. Busque la etiqueta <Connector> en el archivo /etc/vco/app/server/server.xml y añádale el siguiente atributo:

      sslEnabledProtocols = "TLSv1.1,TLSv1.2"

    2. Reinicie el servicio vCO ejecutando el siguiente comando:

      service vco-server restart

  5. Deshabilite TLS 1.0 para el servicio de vRealize Automation.
    1. Busque la etiqueta <Connector> en el archivo /etc/vcac/server.xml y añádale el siguiente atributo:

      sslEnabledProtocols = "TLSv1.1,TLSv1.2"

    2. Ejecute los siguientes comandos para reiniciar el servicio de vRealize Automation.

      service vcac-server restart

    Nota:

    Para volver a habilitar TLS 1.0, agregue TLSv1 a sslEnabledProtocols. Por ejemplo, sslEnabledProtocols = "TLSv1.1,TLSv1.2,TLSv1"

  6. Deshabilite TLS 1.0 para RabbitMQ.
    1. Abra el archivo /etc/rabbitmq/rabbitmq.config y compruebe que se hayan agregado tlsv1.2 y tlsv1.1 a las secciones ssl y ssl_options, tal como se muestra en el ejemplo siguiente.
      [
         {ssl, [
            {versions, ['tlsv1.2', 'tlsv1.1']},
            {ciphers, ["AES256-SHA", "AES128-SHA"]}
         ]},
         {rabbit, [
            {tcp_listeners, [{"127.0.0.1", 5672}]},
            {frame_max, 262144},
            {ssl_listeners, [5671]},
            {ssl_options, [
               {cacertfile, "/etc/rabbitmq/certs/ca/cacert.pem"},
               {certfile, "/etc/rabbitmq/certs/server/cert.pem"},
               {keyfile, "/etc/rabbitmq/certs/server/key.pem"},
               {versions, ['tlsv1.2', 'tlsv1.1']},
               {ciphers, ["AES256-SHA", "AES128-SHA"]},
               {verify, verify_peer},
               {fail_if_no_peer_cert, false}
            ]},
            {mnesia_table_loading_timeout,600000},
            {cluster_partition_handling, autoheal},
            {heartbeat, 600}
         ]},
         {kernel, [{net_ticktime,  120}]}
      ].
    2. Reinicie el servidor de RabbitMQ ejecutando el siguiente comando:

      # service rabbitmq-server restart