Compare los cifrados del servicio HAProxy del dispositivo de vRealize Automation con la lista cifrados aceptados y deshabilite todos los que no considere seguros.

Por qué y cuándo se efectúa esta tarea

Deshabilite los conjuntos de cifrados que no ofrezcan autenticación, como los conjuntos de cifrados NULL, aNULL o eNULL. Deshabilite también el intercambio de claves Diffie-Hellman anónimo (ADH), los cifrados de nivel de exportación (EXP, cifrados que contienen DES), los tamaños de clave inferiores a 128 bits para el cifrado del tráfico de carga, el uso de MD5 como un mecanismo de hash del tráfico de carga, los conjuntos de cifrados IDEA y los conjuntos de cifrados RC4.

Procedimiento

  1. Revise la entrada de cifrados del archivo /etc/haproxy/conf.d/20-vcac.cfg de la directiva de enlace y deshabilite aquellos que no considere seguros.

    bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tlsv10

  2. Revise la entrada de cifrados del archivo /etc/haproxy/conf.d/30-vro-config.cfg de la directiva de enlace y deshabilite aquellos que no considere seguros.

    bind :8283 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tls10