Per impostazione predefinita, alcune comunicazioni localhost non utilizzano TLS. È possibile abilitare TLS in tutte le connessioni localhost per fornire una protezione avanzata.

Procedura

  1. Connettersi all'Appliance vRealize Automation utilizzando il servizio SSH.
  2. Impostare le autorizzazioni per l'archivio chiavi vcac eseguendo i comandi seguenti.
    usermod -A vco,coredump,pivotal vco
    chown vcac.pivotal /etc/vcac/vcac.keystore
    chmod 640 /etc/vcac/vcac.keystore
    
  3. Aggiornare la configurazione HAProxy.
    1. Aprire il file di configurazione HAProxy che si trova in /etc/haproxy/conf.d e scegliere il servizio 20-vcac.cfg.
    2. Individuare le righe contenenti la stringa seguente:

      server local 127.0.0.1… e aggiungere quanto segue alla fine di queste righe: ssl verify none

      Questa sezione contiene altre righe, ad esempio:

      backend-horizon

      backend-vro

      backend-vra

      backend-artifactory

      backend-vra-health

    3. Modificare la porta di backend-horizon da 8080 a 8443.
  4. Ottenere la password di keystorePass.
    1. Individuare la proprietà certificate.store.password nel file /etc/vcac/security.properties.

      Ad esempio certificate.store.password=s2enc~iom0GXATG+RB8ff7Wdm4Bg==

    2. Decrittografare il valore utilizzando il comando seguente:

      vcac-config prop-util -d --p VALUE

      Ad esempio vcac-config prop-util -d --p s2enc~iom0GXATG+RB8ff7Wdm4Bg==

  5. Configurare il servizio vRealize Automation.
    1. Aprire il file /etc/vcac/server.xml.
    2. Aggiungere l'attributo seguente al tag Connector, sostituendo certificate.store.password con il valore della password dell'archivio di certificati disponibile in etc/vcac/security.properties.
      scheme=”https” secure=”true” SSLEnabled=”true” sslProtocol=”TLS” keystoreFile=”/etc/vcac/vcac.keystore” keyAlias=”apache” keystorePass=”certificate.store.password”
  6. Configurare il servizio vRealize Orchestrator.
    1. Aprire il file /etc/vco/app-server.xml
    2. Aggiungere l'attributo seguente al tag Connector, sostituendo certificate.store.password con il valore della password dell'archivio di certificati disponibile in etc/vcac/security.properties.
      scheme=”https” secure=”true” SSLEnabled=”true” sslProtocol=”TLS” keystoreFile=”/etc/vcac/vcac.keystore” keyAlias=”apache” keystorePass=”certificate.store.password”
  7. Riavviare vRealize Orchestrator, vRealize Automation e i servizi haproxy.
    service vcac-server restart
    service vco-server restart 
    service haproxy restart
    Nota:

    Se il server vco non viene riavviato, riavviare il computer host.

  8. Configurare l'interfaccia di gestione dell'appliance virtuale.

    È possibile elencare lo stato dei servizi eseguendo il comando seguente nell'appliance virtuale vRealize Automation.

    curl -ks -H "Content-Type: application/json" https://localhost/component-registry/services/status/current?limit=200 | jq -re '.content[]|"\(.serviceStatus.serviceName) \(.serviceStatus.serviceInitializationStatus)"'
    Nota:

    Se si abilita SSL nell'interfaccia di gestione dell'appliance virtuale, la scheda Servizi non può elencare lo stato dei servizi vRealize Automation.

    1. Aprire il file /opt/vmware/share/htdocs/service/café-services/services.py.
    2. Sostituire la riga conn = httplib.HTTP() con conn = httplib.HTTPS() per una maggiore protezione.