Pour une sécurité maximale, vérifiez le bon usage des suites de chiffrement dans le gestionnaire GemFire TLS.

Procédure

  1. Pour vérifier que les suites de chiffrement sont activées, exécutez les commandes suivantes sur chaque nœud afin de vérifier que les protocoles sont activés :
    1. # grep inter_cluster.supported_cipher_suites /storage/vcops/user/conf/ssl/secure-communications.properties
    or
    2. # grep default.supported_cipher_suites /storage/vcops/user/conf/ssl/secure-communications.properties
    Si le résultat de la commande 1 est vide, cela signifie que les propriétés inter_cluster ne sont pas spécifiées directement et qu'elles utilisent les valeurs par défaut que vous pouvez obtenir par la commande 2.
    Le résultat suivant doit apparaître :
    inter_cluster. supported_cipher_suites = 
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, 
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, 
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, 
    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    Si le résultat de la commande 1 est vide, voici le résultat attendu de la commande 2.
    default. supported_cipher_suites = TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, 
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, 
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, 
    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  2. Configurez les suites de chiffrement appropriées.
    1. Accédez à l'interface utilisateur d'administration : URL/admin.
    2. Pour mettre le cluster hors ligne, cliquez sur Mettre hors ligne.
    3. Pour configurer les suites de chiffrement appropriées, exécutez les commandes suivantes :
      sed -i "/^[^#]*inter_cluster.supported_cipher_suites/ c\inter_cluster.supported_cipher_suites = TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256" /storage/vcops/user/conf/ssl/secure-communications.properties
      Si le résultat de la commande 1 est vide, utilisez la commande suivante pour définir les suites de chiffrement :
      sed -i "/^[^#]*default.supported_cipher_suites/ c\default.supported_cipher_suites = TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256" /storage/vcops/user/conf/ssl/secure-communications.properties
      Répétez cette étape pour chaque nœud.
    4. Accédez à l'interface utilisateur d'administration : URL/admin.
    5. Cliquez sur Mettre en ligne.