Vérifiez les chiffrements du service de la console du proxy de dispositif vRealize Automation par rapport à la liste de chiffrements acceptables et désactivez tous ceux qui sont considérés comme faibles.

Pourquoi et quand exécuter cette tâche

Désactivez les suites de chiffrement qui ne proposent pas d'authentification telles que les suites de chiffrement NULL, aNULL ou eNULL. Désactivez également l'échange de clés anonyme Diffie-Hellman (ADH), les chiffrements de niveau exportation (EXP, chiffrements contenant des algorithmes DES), les tailles de clé inférieures à 128 bits pour le chiffrement du trafic de la charge utile, l'utilisation de la fonction MD5 comme mécanisme de hachage pour le trafic de charge utile, les suites de chiffrement IDEA et les suites de chiffrement RC4.

Procédure

  1. Ouvrez le fichier /etc/vcac/security.properties dans un éditeur de texte.
  2. Ajoutez une ligne dans le fichier pour désactiver les suites de chiffrement indésirables.

    Utilisez une variante de la ligne suivante :

    consoleproxy.ssl.ciphers.disallowed=cipher_suite_1, cipher_suite_2,etc

    Par exemple, pour désactiver les suites de chiffrement AES 128, ajoutez la ligne suivante :

    consoleproxy.ssl.ciphers.disallowed=TLS_DH_DSS_WITH_AES_128_CBC_SHA, TLS_DH_DSS_WITH_AES_256_CBC_SHA, TLS_DH_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA 
  3. Redémarrez le serveur à l'aide de la commande suivante.

    servicce vcac-server restart