Par défaut, certaines communications localhost n'utilisent pas TLS. Vous pouvez activer TLS sur l'ensemble des connexions localhost pour assurer une sécurité renforcée.

Pourquoi et quand exécuter cette tâche

Procédure

  1. Connectez-vous au dispositif vRealize Automation au moyen du mode SSH.
  2. Définissez des autorisations pour le keystore vCAC en exécutant les commandes suivantes.
    chown vcac.pivotal /etc/vcac/vcac.keystore
    chmod 640 /etc/vcac/vcac.keystore
    
  3. Mettez à jour la configuration de HAProxy.
    1. Recherchez les lignes contenant la chaîne suivante :

      server local 127.0.0.1… » et ajoutez les éléments suivants à la fin des lignes « ssl verify none.

      Cette section contient également d'autres lignes :

      backend-horizon

      backend-vro

      backend-vra

      backend-artifactory

      backend-vra-health

    2. Pour backend-horizon, remplacez le port 8080 par 8443.
  4. Obtenez le mot de passe de keystorePass.
    1. Recherchez la propriété certificate.store.password dans le fichier /etc/vcac/security.properties.

      Par exemple, certificate.store.password=s2enc~iom0GXATG+RB8ff7Wdm4Bg==.

    2. Déchiffrez la valeur au moyen de la commande suivante :

      vcac-config prop-util -d --p VALUE

      Par exemple, vcac-config prop-util -d --p s2enc~iom0GXATG+RB8ff7Wdm4Bg==.

  5. Configurez le service vRealize Automation.
    1. Ouvrez le fichier /etc/vcac/server.xml.
    2. Ajoutez l'attribut suivant à la balise de connecteur, en remplaçant certificate.store.password par la valeur du mot de passe de magasin de certificats figurant dans etc/vcac/security.properties.
      scheme=”https” secure=”true” SSLEnabled=”true” sslProtocol=”TLS” keystoreFile=”/etc/vcac/vcac.keystore” keyAlias=”apache” keystorePass=”certificate.store.password”
  6. Configurez le service vRealize Orchestrator.
    1. Ouvrez le fichier /etc/vco/app/server.xml.
    2. Ajoutez l'attribut suivant à la balise de connecteur, en remplaçant certificate.store.password par la valeur du mot de passe de magasin de certificats figurant dans etc/vcac/security.properties.
      scheme=”https” secure=”true” SSLEnabled=”true” sslProtocol=”TLS” keystoreFile=”/etc/vcac/vcac.keystore” keyAlias=”apache” keystorePass=”certificate.store.password”
  7. Redémarrez les services vRealize Orchestrator, vRealize Automation et HAProxy.
    service vcac-server restart
    service vco-server restart 
    service haproxy restart
  8. Configurez l'interface VAMI (Virtual Appliance Management Interface).
    1. Ouvrez le fichier /opt/vmware/share/htdocs/service/café-services/services.py.
    2. Remplacez la ligne conn = httplib.HTTP() par conn = httplib.HTTPS() pour renforcer la sécurité.