Disabilitare TLS 1.0 nei componenti vRealize Automation applicabili.

Informazioni su questa attività

Non sono disponibili direttive per la disabilitazione di TLS 1.0 in Lighttpd. La restrizione sull'utilizzo di TLS 1.0 può essere parzialmente mitigata facendo in modo che OpenSSL non utilizzi i pacchetti di crittografia di TLS 1.0 come descritto nel passaggio 2 seguente.

Procedura

  1. Disabilitare TLS 1.0 nel gestore https di HAProxy nell'appliance vRealize Automation.
    1. Aggiungere no-tlsv10 alla fine della voce che segue nel file /etc/haproxy/conf.d/20-vcac.cfg.

      bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tlsv10

    2. Aggiungere no-tlsv10 alla fine della voce che segue nel file /etc/haproxy/conf.d/30-vro-config.cfg.

      bind :8283 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tls10

    Nota:

    Per riabilitare TLS 1.0, rimuovere no-tlsv10 dalla direttiva di binding.

  2. Verificare in Lighttpd che OpenSSL non utilizzi i pacchetti di crittografia di TLS 1.0
    1. Modificare la riga ssl.cipher-list nel file /opt/vmware/etc/lighttpd/lighttpd.conf come illustrato di seguito.
      ssl.cipher-list = "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256"
    2. Riavviare lighttpd utilizzando il comando seguente:

      service vami-lighttp restart

  3. Disabilitare TLS 1.0 per il proxy della console nell'appliance vRealize Automation.
    1. Aggiungere o modificare la riga che segue nel file /etc/vcac/security.properties.

      consoleproxy.ssl.server.protocols = TLSv1.2, TLSv1.1

    2. Riavviare il server eseguendo il comando seguente:

      service vcac-server restart

    Nota:

    Per riabilitare TLS 1.0, aggiungere TLSv1 come illustrato di seguito e riavviare il servizio vcac-server:

    consoleproxy.ssl.server.protocols = TLSv1.2,TLSv1.1, TLSv1

  4. Disabilitare TLS 1.0 per il servizio vCO.
    1. Individuare il tag <Connector> nel file /etc/vco/app-server/server.xml e aggiungervi il seguente attributo:

      sslEnabledProtocols = "TLSv1.1,TLSv1.2"

    2. Riavviare il servizio vCO eseguendo il comando seguente:

      service vco-server restart

  5. Disabilitare TLS 1.0 per il servizio vRealize Automation.
    1. Individuare il tag <Connector> nel file /etc/vcac/server.xml e aggiungervi l'attributo seguente:

      sslEnabledProtocols = "TLSv1.1,TLSv1.2"

    2. Riavviare il servizio vRealize Automation eseguendo i comandi seguenti:

      service vcac-server restart

    Nota:

    Per riabilitare TLS 1.0, aggiungere TLSv1 a sslEnabledProtocols. Ad esempio sslEnabledProtocols = "TLSv1.1,TLSv1.2,TLSv1"

  6. Disabilitare TLS 1.0 per RabbitMQ.
    1. Aprire il file /etc/rabbitmq/rabbitmq.config e verificare che tlsv1.2 e tlsv1.1 siano stati aggiunti alle sezioni ssl e ssl_options come illustrato nell'esempio seguente.
      [
         {ssl, [
            {versions, ['tlsv1.2', 'tlsv1.1']},
            {ciphers, ["AES256-SHA", "AES128-SHA"]}
         ]},
         {rabbit, [
            {tcp_listeners, [{"127.0.0.1", 5672}]},
            {frame_max, 262144},
            {ssl_listeners, [5671]},
            {ssl_options, [
               {cacertfile, "/etc/rabbitmq/certs/ca/cacert.pem"},
               {certfile, "/etc/rabbitmq/certs/server/cert.pem"},
               {keyfile, "/etc/rabbitmq/certs/server/key.pem"},
               {versions, ['tlsv1.2', 'tlsv1.1']},
               {ciphers, ["AES256-SHA", "AES128-SHA"]},
               {verify, verify_peer},
               {fail_if_no_peer_cert, false}
            ]},
            {mnesia_table_loading_timeout,600000},
            {cluster_partition_handling, autoheal},
            {heartbeat, 600}
         ]},
         {kernel, [{net_ticktime,  120}]}
      ].
    2. Riavviare il server RabbitMQ eseguendo il comando seguente:

      # service rabbitmq-server restart