Nell'ambito del processo dell'applicazione della protezione avanzata, assicurarsi che appliance vRealize Automation utilizzi canali di trasmissione sicuri.

Procedura

  1. Verificare che SSLv3 sia disabilitato nei gestori https HAProxy nell'appliance vRealize Automation.
    File da esaminare Parametro che deve essere presente Nella riga appropriata corrispondente
    /etc/haproxy/conf.d/20-vcac.cfg no-sslv3 bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3
    /etc/haproxy/conf.d/30-vro-config.cfg no-sslv3 bind :8283 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3
  2. Aprire il file /etc/apache2/vhosts.d/vcac.conf e verificare che contenga la voce SSLProtocol all -SSLv2 -SSLv3.
  3. Aprire il file /opt/vmware/etc/lighttpd/lighttpd.conf e verificare che contenga le voci di disabilitazione corrette.
    ssl.use-sslv2 = "disable"
    ssl.use-sslv3 = "disable"
  4. Verificare che SSLv2 e SSLv3 siano disabilitati per il proxy della console in appliance vRealize Automation.
    1. Modificare il file /etc/vcac/security.properties aggiungendo o modificando la riga seguente:
      consoleproxy.ssl.server.protocols = TLSv1.2, TLSv1.1, TLSv1
    2. Riavviare il server eseguendo il comando seguente:
      service vcac-server restart
  5. Verificare che SSLv3 sia disabilitato per il servizio vCO.
    1. Individuare il tag <Connector> nel file /etc/vco/app-server/server.xml e aggiungere il seguente attributo:
      sslEnabledProtocols = "TLSv1.1,TLSv1.2,TLSv1"
    2. Riavviare il servizio vCO con il seguente comando.
      service vco-server restart
  6. Verificare che SSLv3 sia disabilitato per il servizio vRealize Automation.
    1. Aggiungere i seguenti attributi al tag <Connector> nel file /etc/vcac/server.xml.
      sslEnabledProtocols = "TLSv1.1,TLSv1.2,TLSv1"
    2. Riavviare il servizio vRealize Automation mediante il seguente comando:
      service vcac-server restart
  7. Verificare che SSLv3 sia disabilitato per RabbitMQ.
    Aprire il file /etc/rabbitmq/rabbitmq.config e verificare che {versions, ['tlsv1.2', 'tlsv1.1']} sia presente nelle sezioni ssl e ssl_options.
    [
      {ssl, [
          {versions, ['tlsv1.2', 'tlsv1.1']},
          {ciphers, ["AES256-SHA", "AES128-SHA"]}
      ]},
       {rabbit, [
          {tcp_listeners, [{"127.0.0.1", 5672}]},
          {frame_max, 262144},
          {ssl_listeners, [5671]},
          {ssl_options, [
             {cacertfile, "/etc/rabbitmq/certs/ca/cacert.pem"},
             {certfile, "/etc/rabbitmq/certs/server/cert.pem"},
             {keyfile, "/etc/rabbitmq/certs/server/key.pem"},
             {versions, ['tlsv1.2', 'tlsv1.1']},
             {ciphers, ["AES256-SHA", "AES128-SHA"]},
             {verify, verify_peer},
             {fail_if_no_peer_cert, false}
          ]},
          {mnesia_table_loading_timeout,600000},
          {cluster_partition_handling, autoheal},
          {heartbeat, 600}
       ]},
       {kernel, [{net_ticktime,  120}]}
    ].
    
  8. Riavviare il server RabbitMQ eseguendo il comando seguente:
    # service rabbitmq-server restart
  9. Verificare che SSLv3 sia disabilitato per il servizio vIDM.
    Aprire il file /opt/vmware/horizon/workspace/config/server.xml per ogni istanza del connettore contenente SSLEnabled="true" e assicurarsi che sia presente la seguente riga.

    sslEnabledProtocols="TLSv1.1,TLSv1.2"