Como parte del proceso de protección, asegúrese de que la instancia implementada de el dispositivo de vRealize Automation utiliza canales de transmisión seguros.

Procedimiento

  1. Compruebe que SSLv3 está deshabilitado en los controladores HTTPS de HAProxy en el el dispositivo de vRealize Automation.

    Revisar este archivo

    Asegurarse de que lo siguiente esté presente

    Asegurarse de que esté en la línea adecuada tal como se muestra

    /etc/haproxy/conf.d/20-vcac.cfg

    no-sslv3

    bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3

    /etc/haproxy/conf.d/30-vro-config.cfg

    no-sslv3

    bind :8283 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3

  2. Abra el archivo /etc/apache2/vhosts.d/vcac.conf y compruebe que aparezca la entrada SSLProtocol all -SSLv2 -SSLv3.
  3. Abra el archivo /opt/vmware/etc/lighttpd/lighttpd.conf y compruebe que aparezcan las entradas de deshabilitación correctas.
    ssl.use-sslv2 = "disable"
    ssl.use-sslv3 = "disable"
  4. Compruebe que SSLv2 y SSLv3 estén deshabilitados para el proxy de la consola en el el dispositivo de vRealize Automation.
    1. Edite el archivo /etc/vcac/security.properties mediante la adición o la modificación de la siguiente línea:

      consoleproxy.ssl.server.protocols = TLSv1.2, TLSv1.1, TLSv1

    2. Reinicie el servidor ejecutando el siguiente comando:

      service vcac-server restart

  5. Compruebe que SSLv3 esté deshabilitado para el servicio vCO.
    1. Busque la etiqueta <Connector> en el archivo /etc/vco/app-server/server.xml y agregue el siguiente atributo:

      sslEnabledProtocols = "TLSv1.1,TLSv1.2,TLSv1"

    2. Ejecute el siguiente comando para reiniciar el servicio vCO.

      service vco-server restart

  6. Compruebe que SSLv3 esté deshabilitado para el servicio vRealize Automation.
    1. Añada los siguientes atributos a la etiqueta <Connector> en el archivo /etc/vcac/server.xml:

      sslEnabledProtocols = "TLSv1.1,TLSv1.2,TLSv1"

    2. Ejecute el siguiente comando para reiniciar el servicio vRealize Automation:

      service vcac-server restart

  7. Compruebe que SSLv3 esté deshabilitado para RabbitMQ.

    Abra el archivo /etc/rabbitmq/rabbitmq.config y compruebe que {versions, ['tlsv1.2', 'tlsv1.1']} aparezca en las secciones ssl y ssl_options.

    [
      {ssl, [
          {versions, ['tlsv1.2', 'tlsv1.1']},
          {ciphers, ["AES256-SHA", "AES128-SHA"]}
      ]},
       {rabbit, [
          {tcp_listeners, [{"127.0.0.1", 5672}]},
          {frame_max, 262144},
          {ssl_listeners, [5671]},
          {ssl_options, [
             {cacertfile, "/etc/rabbitmq/certs/ca/cacert.pem"},
             {certfile, "/etc/rabbitmq/certs/server/cert.pem"},
             {keyfile, "/etc/rabbitmq/certs/server/key.pem"},
             {versions, ['tlsv1.2', 'tlsv1.1']},
             {ciphers, ["AES256-SHA", "AES128-SHA"]},
             {verify, verify_peer},
             {fail_if_no_peer_cert, false}
          ]},
          {mnesia_table_loading_timeout,600000},
          {cluster_partition_handling, autoheal},
          {heartbeat, 600}
       ]},
       {kernel, [{net_ticktime,  120}]}
    ].
    
  8. Reinicie el servidor de RabbitMQ ejecutando el siguiente comando:

    # service rabbitmq-server restart

  9. Compruebe que SSLv3 esté deshabilitado para el servicio vIDM.

    Abra el archivo /opt/vmware/horizon/workspace/config/server.xml para cada instancia del conector que contenga SSLEnabled="true" y asegúrese de que la siguiente línea esté presente.

    sslEnabledProtocols="TLSv1.1,TLSv1.2"