Vérifiez les chiffrements du service HAProxy de dispositif vRealize Automation par rapport à la liste de chiffrements acceptables et désactivez tous ceux qui sont considérés comme faibles.

Pourquoi et quand exécuter cette tâche

Désactivez les suites de chiffrement qui ne proposent pas d'authentification telles que les suites de chiffrement NULL, aNULL ou eNULL. Désactivez également l'échange de clés anonyme Diffie-Hellman (ADH), les chiffrements de niveau exportation (EXP, chiffrements contenant des algorithmes DES), les tailles de clé inférieures à 128 bits pour le chiffrement du trafic de la charge utile, l'utilisation de la fonction MD5 comme mécanisme de hachage pour le trafic de charge utile, les suites de chiffrement IDEA et les suites de chiffrement RC4.

Procédure

  1. Vérifiez les entrées de chiffrement du fichier /etc/haproxy/conf.d/20-vcac.cfg de la directive de liaison et désactivez ceux qui sont considérés comme faibles.

    bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tlsv10

  2. Vérifiez les entrées de chiffrement du fichier /etc/haproxy/conf.d/30-vro-config.cfg de la directive de liaison et désactivez ceux qui sont considérés comme faibles.

    bind :8283 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tls10