Como parte del proceso de protección, asegúrese de que la instancia implementada de Dispositivo de vRealize Automation utiliza canales de transmisión seguros.

Requisitos

Complete el procedimiento Habilitar TLS en la configuración de localhost.

Procedimiento

  1. Compruebe que SSLv3, TLS 1.0 y TLS 1.1 estén deshabilitados en los controladores https de HAProxy en Dispositivo de vRealize Automation.

    Revisar este archivo

    Asegurarse de que lo siguiente esté presente

    Asegurarse de que esté en la línea adecuada tal como se muestra

    /etc/haproxy/conf.d/20-vcac.cfg

    no-sslv3 no-tlsv10 no-tls11 force-tls12

    bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11

    /etc/haproxy/conf.d/30-vro-config.cfg

    no-sslv3 no-tlsv10 no-tls11 force-tls12

    bind :::8283 v4v6 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11

  2. Reinicie el servicio.
    service haproxy restart
  3. Abra el archivo /opt/vmware/etc/lighttpd/lighttpd.conf y compruebe que aparezcan las entradas de deshabilitación correctas.
    Nota:

    No hay ninguna directiva para deshabilitar TLS 1.0 o TLS 1.1 en Lighttpd. La restricción en el uso de TLS 1.0 y TLS 1.1 puede mitigarse parcialmente aplicando OpenSSL para que no utilice los conjuntos de cifrado de TLS 1.0 y TLS 1.1.

    ssl.use-sslv2 = "disable"
    ssl.use-sslv3 = "disable"
  4. Compruebe que SSLv3, TLS 1.0 y TLS 1.1 estén deshabilitados para el proxy de la consola en Dispositivo de vRealize Automation.
    1. Edite el archivo /etc/vcac/security.properties mediante la adición o la modificación de la siguiente línea:

      consoleproxy.ssl.server.protocols = TLSv1.2

    2. Reinicie el servidor ejecutando el siguiente comando:

      service vcac-server restart

  5. Compruebe que SSLv3, TLS 1.0 y TLS 1.1 estén deshabilitados para el servicio vCO.
    1. Busque la etiqueta <Connector> en el archivo /etc/vco/app-server/server.xml y agregue el siguiente atributo:

      sslEnabledProtocols = "TLSv1.2"

    2. Ejecute el siguiente comando para reiniciar el servicio vCO.

      service vco-server restart

  6. Compruebe que SSLv3, TLS 1.0 y TLS 1.1 estén deshabilitados para el servicio vRealize Automation.
    1. Añada los siguientes atributos a la etiqueta <Connector> en el archivo /etc/vcac/server.xml:

      sslEnabledProtocols = "TLSv1.2"

    2. Ejecute el siguiente comando para reiniciar el servicio vRealize Automation:

      service vcac-server restart

  7. Compruebe que SSLv3, TLS 1.0 y TLS 1.1 estén deshabilitados para RabbitMQ.

    Abra el archivo /etc/rabbitmq/rabbitmq.config y compruebe que {versions, ['tlsv1.2', 'tlsv1.1']} aparezca en las secciones ssl y ssl_options.

    [
      {ssl, [
          {versions, ['tlsv1.2', 'tlsv1.1']},
          {ciphers, ["AES256-SHA", "AES128-SHA"]}
      ]},
       {rabbit, [
          {tcp_listeners, [{"127.0.0.1", 5672}]},
          {frame_max, 262144},
          {ssl_listeners, [5671]},
          {ssl_options, [
             {cacertfile, "/etc/rabbitmq/certs/ca/cacert.pem"},
             {certfile, "/etc/rabbitmq/certs/server/cert.pem"},
             {keyfile, "/etc/rabbitmq/certs/server/key.pem"},
             {versions, ['tlsv1.2', 'tlsv1.1']},
             {ciphers, ["AES256-SHA", "AES128-SHA"]},
             {verify, verify_peer},
             {fail_if_no_peer_cert, false}
          ]},
          {mnesia_table_loading_timeout,600000},
          {cluster_partition_handling, autoheal},
          {heartbeat, 600}
       ]},
       {kernel, [{net_ticktime,  120}]}
    ].
    
  8. Reinicie el servidor de RabbitMQ.

    # service rabbitmq-server restart

  9. Compruebe que SSLv3, TLS 1.0 y TLS 1.1 estén deshabilitados para el servicio vIDM.

    Abra el archivo opt/vmware/horizon/workspace/conf/server.xml para cada instancia del conector que contenga SSLEnabled="true" y asegúrese de que la siguiente línea esté presente.

    sslEnabledProtocols="TLSv1.2"