De manera predeterminada, algunas comunicaciones de localhost no utilizan TLS. Puede habilitar TLS en todas las conexiones de localhost para proporcionar una mayor seguridad.

Por qué y cuándo se efectúa esta tarea

Procedimiento

  1. Conéctese con el Dispositivo de vRealize Automation mediante SSH.
  2. Defina permisos para el almacén de claves de vCAC mediante la ejecución de los siguientes comandos.
    chown vcac.pivotal /etc/vcac/vcac.keystore
    chmod 640 /etc/vcac/vcac.keystore
    
  3. Actualice la configuración de HAProxy.
    1. Busque las líneas que contengan la siguiente cadena:

      "#server local 127.0.0.1…" y agregue lo siguiente al final de tales líneas "ssl verify none".

      Esta sección contiene otras líneas como la siguiente:

      backend-horizon

      backend-vro

      backend-vra

      backend-artifactory

      backend-vra-health

    2. Cambie el puerto de backend-horizon de 8080 a 8443.
  4. Obtenga la contraseña de keystorePass.
    1. Busque la propiedad certificate.store.password en el archivo /etc/vcac/security.properties.

      Por ejemplo, certificate.store.password=s2enc~iom0GXATG+RB8ff7Wdm4Bg==

    2. Descifre el valor con el siguiente comando:

      vcac-config prop-util -d --p VALUE

      Por ejemplo, vcac-config prop-util -d --p s2enc~iom0GXATG+RB8ff7Wdm4Bg==

  5. Configure el servicio de vRealize Automation.
    1. Abra el archivo /etc/vcac/server.xml.
    2. Agregue el siguiente atributo a la etiqueta Connector, reemplazando certificate.store.password con el valor de contraseña del almacén de certificados que se encuentra en etc/vcac/security.properties.
      scheme=”https” secure=”true” SSLEnabled=”true” sslProtocol=”TLS” keystoreFile=”/etc/vcac/vcac.keystore” keyAlias=”apache” keystorePass=”certificate.store.password”
  6. Configure el servicio de vRealize Orchestrator.
    1. Abra el archivo /etc/vco/app/server.xml.
    2. Agregue el siguiente atributo a la etiqueta Connector, reemplazando certificate.store.password con el valor de contraseña del almacén de certificados que se encuentra en etc/vcac/security.properties.
      scheme=”https” secure=”true” SSLEnabled=”true” sslProtocol=”TLS” keystoreFile=”/etc/vcac/vcac.keystore” keyAlias=”apache” keystorePass=”certificate.store.password”
  7. Reinicie los servicios de HAProxy, de vRealize Orchestrator y de vRealize Automation.
    service vcac-server restart
    service vco-server restart 
    service haproxy restart
  8. Configure la interfaz de administración de dispositivos virtuales.
    1. Abra el archivo /opt/vmware/share/htdocs/service/café-services/services.py.
    2. Para aumentar la seguridad, cambie la línea conn = httplib.HTTP() por conn = httplib.HTTPS().