Nell'ambito del processo dell'applicazione della protezione avanzata, assicurarsi che Appliance vRealize Automation utilizzi canali di trasmissione sicuri.

Prerequisiti

Completare la procedura Abilitare TLS nella configurazione localhost.

Procedura

  1. Verificare che SSLv3, TLS 1.0 e TLS 1.1 siano disabilitati nei gestori https HAProxy in Appliance vRealize Automation.

    File da esaminare

    Parametro che deve essere presente

    Nella riga appropriata corrispondente

    /etc/haproxy/conf.d/20-vcac.cfg

    no-sslv3 no-tlsv10 no-tls11 force-tls12

    bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11

    /etc/haproxy/conf.d/30-vro-config.cfg

    no-sslv3 no-tlsv10 no-tls11 force-tls12

    bind :::8283 v4v6 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11

  2. Riavviare il servizio.
    service haproxy restart
  3. Aprire il file /opt/vmware/etc/lighttpd/lighttpd.conf e verificare che contenga le voci di disabilitazione corrette.
    Nota:

    Non sono disponibili direttive per la disabilitazione di TLS 1.0 o TLS 1.1 in Lighttpd. La restrizione sull'utilizzo di TLS 1.1 e TLS 1.0 può essere parzialmente mitigata facendo in modo che OpenSSL non utilizzi le suite di crittografia di TLS 1.0 e TLS 1.1.

    ssl.use-sslv2 = "disable"
    ssl.use-sslv3 = "disable"
  4. Verificare che SSLv3, TLS 1.0 e TLS 1.1 siano disabilitati per il proxy della console in Appliance vRealize Automation.
    1. Modificare il file /etc/vcac/security.properties aggiungendo o modificando la riga seguente:

      consoleproxy.ssl.server.protocols = TLSv1.2

    2. Riavviare il server eseguendo il comando seguente:

      service vcac-server restart

  5. Verificare che SSLv3, TLS 1.0 e TLS 1.1 siano disabilitati per il servizio vCO.
    1. Individuare il tag <Connector> nel file /etc/vco/app-server/server.xml e aggiungere il seguente attributo:

      sslEnabledProtocols = "TLSv1.2"

    2. Riavviare il servizio vCO con il seguente comando.

      service vco-server restart

  6. Verificare che SSLv3, TLS 1.0 e TLS 1.1 siano disabilitati per il servizio vRealize Automation.
    1. Aggiungere i seguenti attributi al tag <Connector> nel file /etc/vcac/server.xml.

      sslEnabledProtocols = "TLSv1.2"

    2. Riavviare il servizio vRealize Automation mediante il seguente comando:

      service vcac-server restart

  7. Verificare che SSLv3, TLS 1.0 e TLS 1.1 siano disabilitati per RabbitMQ.

    Aprire il file /etc/rabbitmq/rabbitmq.config e verificare che {versions, ['tlsv1.2', 'tlsv1.1']} sia presente nelle sezioni ssl e ssl_options.

    [
      {ssl, [
          {versions, ['tlsv1.2', 'tlsv1.1']},
          {ciphers, ["AES256-SHA", "AES128-SHA"]}
      ]},
       {rabbit, [
          {tcp_listeners, [{"127.0.0.1", 5672}]},
          {frame_max, 262144},
          {ssl_listeners, [5671]},
          {ssl_options, [
             {cacertfile, "/etc/rabbitmq/certs/ca/cacert.pem"},
             {certfile, "/etc/rabbitmq/certs/server/cert.pem"},
             {keyfile, "/etc/rabbitmq/certs/server/key.pem"},
             {versions, ['tlsv1.2', 'tlsv1.1']},
             {ciphers, ["AES256-SHA", "AES128-SHA"]},
             {verify, verify_peer},
             {fail_if_no_peer_cert, false}
          ]},
          {mnesia_table_loading_timeout,600000},
          {cluster_partition_handling, autoheal},
          {heartbeat, 600}
       ]},
       {kernel, [{net_ticktime,  120}]}
    ].
    
  8. Riavviare il server RabbitMQ.

    # service rabbitmq-server restart

  9. Verificare che SSLv3, TLS 1.0 e TLS 1.1 siano disabilitati per il servizio vIDM.

    Aprire il file opt/vmware/horizon/workspace/conf/server.xml per ogni istanza del connettore contenente SSLEnabled="true" e assicurarsi che sia presente la seguente riga.

    sslEnabledProtocols="TLSv1.2"