Nell'ambito del processo dell'applicazione della protezione avanzata, assicurarsi che Appliance vRealize Automation utilizzi canali di trasmissione sicuri.
Non è possibile eseguire l'operazione di unione cluster una volta disabilitato TLS 1.0/1.1 e abilitato TLS 1.2
Prerequisiti
Completare la procedura Abilitare TLS nella configurazione localhost.
Procedura
- Verificare che SSLv3, TLS 1.0 e TLS 1.1 siano disabilitati nei gestori https HAProxy in Appliance vRealize Automation.
File da esaminare
Parametro che deve essere presente
Nella riga appropriata corrispondente
/etc/haproxy/conf.d/20-vcac.cfg
no-sslv3 no-tlsv10 no-tls11 force-tls12
bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11
/etc/haproxy/conf.d/30-vro-config.cfg
no-sslv3 no-tlsv10 no-tls11 force-tls12
bind :::8283 v4v6 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11
- Riavviare il servizio.
service haproxy restart
- Aprire il file /opt/vmware/etc/lighttpd/lighttpd.conf e verificare che contenga le voci di disabilitazione corrette.
Nota:
Non sono disponibili direttive per la disabilitazione di TLS 1.0 o TLS 1.1 in Lighttpd. La restrizione sull'utilizzo di TLS 1.1 e TLS 1.0 può essere parzialmente mitigata facendo in modo che OpenSSL non utilizzi le suite di crittografia di TLS 1.0 e TLS 1.1.
ssl.use-sslv2 = "disable" ssl.use-sslv3 = "disable"
- Verificare che SSLv3, TLS 1.0 e TLS 1.1 siano disabilitati per il proxy della console in Appliance vRealize Automation.
- Modificare il file /etc/vcac/security.properties aggiungendo o modificando la riga seguente:
consoleproxy.ssl.server.protocols = TLSv1.2
- Riavviare il server eseguendo il comando seguente:
service vcac-server restart
- Modificare il file /etc/vcac/security.properties aggiungendo o modificando la riga seguente:
- Verificare che SSLv3, TLS 1.0 e TLS 1.1 siano disabilitati per il servizio vCO.
- Individuare il tag
<Connector>
nel file /etc/vco/app-server/server.xml e aggiungere il seguente attributo:sslEnabledProtocols = "TLSv1.2"
- Riavviare il servizio vCO con il seguente comando.
service vco-server restart
- Individuare il tag
- Verificare che SSLv3, TLS 1.0 e TLS 1.1 siano disabilitati per il servizio vRealize Automation.
- Aggiungere i seguenti attributi al tag
<Connector>
nel file /etc/vcac/server.xml.sslEnabledProtocols = "TLSv1.2"
- Riavviare il servizio vRealize Automation mediante il seguente comando:
service vcac-server restart
- Aggiungere i seguenti attributi al tag
- Verificare che SSLv3, TLS 1.0 e TLS 1.1 siano disabilitati per RabbitMQ.
Aprire il file /etc/rabbitmq/rabbitmq.config e verificare che solo
{versions, ['tlsv1.2']}
sia presente nelle sezioni ssl e ssl_options.[ {ssl, [ {versions, ['tlsv1.2']}, {ciphers, ["AES256-SHA", "AES128-SHA"]} ]}, {rabbit, [ {tcp_listeners, [{"127.0.0.1", 5672}]}, {frame_max, 262144}, {ssl_listeners, [5671]}, {ssl_options, [ {cacertfile, "/etc/rabbitmq/certs/ca/cacert.pem"}, {certfile, "/etc/rabbitmq/certs/server/cert.pem"}, {keyfile, "/etc/rabbitmq/certs/server/key.pem"}, {versions, ['tlsv1.2']}, {ciphers, ["AES256-SHA", "AES128-SHA"]}, {verify, verify_peer}, {fail_if_no_peer_cert, false} ]}, {mnesia_table_loading_timeout,600000}, {cluster_partition_handling, autoheal}, {heartbeat, 600} ]}, {kernel, [{net_ticktime, 120}]} ].
- Riavviare il server RabbitMQ.
# service rabbitmq-server restart
- Verificare che SSLv3, TLS 1.0 e TLS 1.1 siano disabilitati per il servizio vIDM.
Aprire il file opt/vmware/horizon/workspace/conf/server.xml per ogni istanza del connettore contenente
SSLEnabled="true"
e assicurarsi che sia presente la seguente riga.sslEnabledProtocols="TLSv1.2"