Désactivez TLS 1.0 sur les composants vRealize Automation concernés.

Pourquoi et quand exécuter cette tâche

Aucune directive n'impose la désactivation de TLS 1.0 dans Lighttpd. La limitation portant sur TLS 1.0 peut être partiellement atténuée en s'assurant qu'OpenSSL n'utilise pas de suites de chiffrement TLS 1.0, comme décrit dans l'étape 2 ci-dessous.

Procédure

  1. Désactivez TLS 1.0 dans le gestionnaire https HAProxy sur le dispositif vRealize Automation.
    1. Ajoutez no-tlsv10 à la fin de l'entrée suivante dans le fichier /etc/haproxy/conf.d/20-vcac.cfg .

      bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tlsv10

    2. Ajoutez no-tlsv10 à la fin de l'entrée suivante dans le fichier /etc/haproxy/conf.d/30-vro-config.cfg.

      bind :8283 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tls10

    Remarque :

    Pour réactiver TLS 1.0, supprimez no-tlsv10 de la directive de liaison.

  2. Dans Lighttpd, vérifiez qu'OpenSSL n'utilise pas de suites de chiffrement TLS 1.0.
    1. Modifiez la ligne ssl.cipher-list dans le fichier /opt/vmware/etc/lighttpd/lighttpd.conf comme suit.
      ssl.cipher-list = "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256"
    2. Redémarrez lighttpd à l'aide de la commande suivante :

      service vami-lighttp restart

  3. Désactivez TLS 1.0 pour le proxy de la console sur le dispositif vRealize Automation.
    1. Ajoutez ou modifiez la ligne suivante dans le fichier /etc/vcac/security.properties.

      consoleproxy.ssl.server.protocols = TLSv1.2, TLSv1.1

    2. Redémarrez le serveur en exécutant la commande suivante :

      service vcac-server restart

    Remarque :

    Pour réactiver TLS 1.0, omettez TLSv1 comme suit, puis redémarrez le service vcac-server :

    consoleproxy.ssl.server.protocols = TLSv1.2,TLSv1.1

  4. Désactivez TLS 1.0 pour le service vCO.
    1. Recherchez la balise <Connector> dans le fichier /etc/vco/app/server/server.xml et ajoutez-y l'attribut suivant :

      sslEnabledProtocols = "TLSv1.1,TLSv1.2"

    2. Redémarrez le service vCO en exécutant la commande suivante :

      service vco-server restart

  5. Désactivez TLS 1.0 pour le service vRealize Automation.
    1. Localisez la balise <Connector> dans le fichier /etc/vcac/server.xml et ajoutez-y l'attribut suivant :

      sslEnabledProtocols = "TLSv1.1,TLSv1.2"

    2. Redémarrez le service vRealize Automation en exécutant les commandes suivantes.

      service vcac-server restart

    Remarque :

    Pour réactiver TLS 1.0, ajoutez TLSv1 à sslEnabledProtocols. Par exemple, sslEnabledProtocols = "TLSv1.1,TLSv1.2,TLSv1".

  6. Désactivez TLS 1.0 pour RabbitMQ.
    1. Ouvrez le fichier /etc/rabbitmq/rabbitmq.config et vérifiez que tlsv1.2 et tlsv1.1 sont ajoutés aux sections ssl et ssl_options comme indiqué dans l'exemple suivant.
      [
         {ssl, [
            {versions, ['tlsv1.2', 'tlsv1.1']},
            {ciphers, ["AES256-SHA", "AES128-SHA"]}
         ]},
         {rabbit, [
            {tcp_listeners, [{"127.0.0.1", 5672}]},
            {frame_max, 262144},
            {ssl_listeners, [5671]},
            {ssl_options, [
               {cacertfile, "/etc/rabbitmq/certs/ca/cacert.pem"},
               {certfile, "/etc/rabbitmq/certs/server/cert.pem"},
               {keyfile, "/etc/rabbitmq/certs/server/key.pem"},
               {versions, ['tlsv1.2', 'tlsv1.1']},
               {ciphers, ["AES256-SHA", "AES128-SHA"]},
               {verify, verify_peer},
               {fail_if_no_peer_cert, false}
            ]},
            {mnesia_table_loading_timeout,600000},
            {cluster_partition_handling, autoheal},
            {heartbeat, 600}
         ]},
         {kernel, [{net_ticktime,  120}]}
      ].
    2. Redémarrez le serveur RabbitMQ en exécutant la commande suivante :

      # service rabbitmq-server restart