Dans le cadre du processus de sécurisation renforcée, assurez-vous que le dispositif dispositif vRealize Automation déployé utilise des canaux de transmission sécurisés.

Procédure

  1. Vérifiez que SSLv3 est désactivé dans les gestionnaires https HAProxy sur dispositif vRealize Automation.

    Fichier à examiner

    Vérifier la présence de ces éléments

    Sur la ligne appropriée, comme indiqué

    /etc/haproxy/conf.d/20-vcac.cfg

    no-sslv3

    bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3

    /etc/haproxy/conf.d/30-vro-config.cfg

    no-sslv3

    bind :8283 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3

  2. Ouvrez le fichier /etc/apache2/vhosts.d/vcac.conf et vérifiez que l'entrée SSLProtocol all -SSLv2 -SSLv3 s'affiche.
  3. Ouvrez le fichier /opt/vmware/etc/lighttpd/lighttpd.conf et vérifiez que les entrées désactivées correctes s'affichent.
    ssl.use-sslv2 = "disable"
    ssl.use-sslv3 = "disable"
  4. Vérifiez que SSLv2 et SSLv3 sont désactivés pour le proxy de la console sur dispositif vRealize Automation.
    1. Modifiez le fichier /etc/vcac/security.properties en ajoutant ou en modifiant la ligne suivante :

      consoleproxy.ssl.server.protocols = TLSv1.2, TLSv1.1, TLSv1

    2. Redémarrez le serveur en exécutant la commande suivante :

      service vcac-server restart

  5. Vérifiez que SSLv3 est désactivé pour le service vCO.
    1. Localisez la balise <Connector> dans le fichier /etc/vco/app-server/server.xml et ajoutez l'attribut suivant :

      sslEnabledProtocols = "TLSv1.1,TLSv1.2,TLSv1"

    2. Redémarrez le service vCO en exécutant la commande suivante.

      service vco-server restart

  6. Vérifiez que SSLv3 est désactivé pour le service vRealize Automation.
    1. Ajoutez les attributs suivants à la balise <Connector> dans le fichier /etc/vcac/server.xml.

      sslEnabledProtocols = "TLSv1.1,TLSv1.2,TLSv1"

    2. Redémarrez le service vRealize Automation en exécutant la commande suivante :

      service vcac-server restart

  7. Vérifiez que SSLv3 est désactivé pour RabbitMQ.

    Ouvrez le fichier /etc/rabbitmq/rabbitmq.config et vérifiez que {versions, ['tlsv1.2', 'tlsv1.1']} apparaissent dans les sections ssl et ssl_options.

    [
      {ssl, [
          {versions, ['tlsv1.2', 'tlsv1.1']},
          {ciphers, ["AES256-SHA", "AES128-SHA"]}
      ]},
       {rabbit, [
          {tcp_listeners, [{"127.0.0.1", 5672}]},
          {frame_max, 262144},
          {ssl_listeners, [5671]},
          {ssl_options, [
             {cacertfile, "/etc/rabbitmq/certs/ca/cacert.pem"},
             {certfile, "/etc/rabbitmq/certs/server/cert.pem"},
             {keyfile, "/etc/rabbitmq/certs/server/key.pem"},
             {versions, ['tlsv1.2', 'tlsv1.1']},
             {ciphers, ["AES256-SHA", "AES128-SHA"]},
             {verify, verify_peer},
             {fail_if_no_peer_cert, false}
          ]},
          {mnesia_table_loading_timeout,600000},
          {cluster_partition_handling, autoheal},
          {heartbeat, 600}
       ]},
       {kernel, [{net_ticktime,  120}]}
    ].
    
  8. Redémarrez le serveur RabbitMQ en exécutant la commande suivante :

    # service rabbitmq-server restart

  9. Vérifiez que SSLv3 est désactivé pour le service vIDM.

    Ouvrez le fichier /opt/vmware/horizon/workspace/config/server.xml pour chaque instance du connecteur contenant SSLEnabled="true" et assurez-vous que la ligne suivante est présente.

    sslEnabledProtocols="TLSv1.1,TLSv1.2"