Nell'ambito del processo dell'applicazione della protezione avanzata, assicurarsi che Appliance vRealize Automation utilizzi canali di trasmissione sicuri.

Nota:

Non è possibile eseguire l'operazione di unione cluster una volta disabilitato TLS 1.0/1.1 e abilitato TLS 1.2

1. Verificare che SSLv3, TLS 1.0 e TLS 1.1 siano disabilitati nei gestori https HAProxy in Appliance vRealize Automation.

   File da esaminare	Parametro che deve essere presente	Nella riga appropriata corrispondente
   /etc/haproxy/conf.d/20-vcac.cfg	no-sslv3 no-tlsv10 no-tls11 force-tls12	bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11
   /etc/haproxy/conf.d/30-vro-config.cfg	no-sslv3 no-tlsv10 no-tls11 force-tls12	bind :::8283 v4v6 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11

2. Riavviare il servizio.

   service haproxy restart

3. Aprire il file /opt/vmware/etc/lighttpd/lighttpd.conf e verificare che contenga le voci di disabilitazione corrette.
   Nota:

   Non sono disponibili direttive per la disabilitazione di TLS 1.0 o TLS 1.1 in Lighttpd. La restrizione sull'utilizzo di TLS 1.1 e TLS 1.0 può essere parzialmente mitigata facendo in modo che OpenSSL non utilizzi le suite di crittografia di TLS 1.0 e TLS 1.1.

   ssl.use-sslv2 = "disable"
   ssl.use-sslv3 = "disable"

4. Verificare che SSLv3, TLS 1.0 e TLS 1.1 siano disabilitati per il proxy della console in Appliance vRealize Automation.
   1. Modificare il file /etc/vcac/security.properties aggiungendo o modificando la riga seguente:

      consoleproxy.ssl.server.protocols = TLSv1.2

   2. Riavviare il server eseguendo il comando seguente:

      service vcac-server restart

5. Verificare che SSLv3, TLS 1.0 e TLS 1.1 siano disabilitati per il servizio vCO.
   1. Individuare il tag <Connector> nel file /etc/vco/app-server/server.xml e aggiungere il seguente attributo:

      sslEnabledProtocols = "TLSv1.2"

   2. Riavviare il servizio vCO con il seguente comando.

      service vco-server restart
6. Verificare che SSLv3, TLS 1.0 e TLS 1.1 siano disabilitati per il servizio vRealize Automation.
   1. Aggiungere i seguenti attributi al tag <Connector> nel file /etc/vcac/server.xml.

      sslEnabledProtocols = "TLSv1.2"

   2. Riavviare il servizio vRealize Automation mediante il seguente comando:

      service vcac-server restart

7. Verificare che SSLv3, TLS 1.0 e TLS 1.1 siano disabilitati per RabbitMQ.

   Aprire il file /etc/rabbitmq/rabbitmq.config e verificare che solo {versions, ['tlsv1.2']} sia presente nelle sezioni ssl e ssl_options.

   [
     {ssl, [
         {versions, ['tlsv1.2']},
         {ciphers, ["AES256-SHA", "AES128-SHA"]}
     ]},
      {rabbit, [
         {tcp_listeners, [{"127.0.0.1", 5672}]},
         {frame_max, 262144},
         {ssl_listeners, [5671]},
         {ssl_options, [
            {cacertfile, "/etc/rabbitmq/certs/ca/cacert.pem"},
            {certfile, "/etc/rabbitmq/certs/server/cert.pem"},
            {keyfile, "/etc/rabbitmq/certs/server/key.pem"},
            {versions, ['tlsv1.2']},
            {ciphers, ["AES256-SHA", "AES128-SHA"]},
            {verify, verify_peer},
            {fail_if_no_peer_cert, false}
         ]},
         {mnesia_table_loading_timeout,600000},
         {cluster_partition_handling, autoheal},
         {heartbeat, 600}
      ]},
      {kernel, [{net_ticktime,  120}]}
   ].
   

8. Riavviare il server RabbitMQ.

   # service rabbitmq-server restart
9. Verificare che SSLv3, TLS 1.0 e TLS 1.1 siano disabilitati per il servizio vIDM.

   Aprire il file opt/vmware/horizon/workspace/conf/server.xml per ogni istanza del connettore contenente SSLEnabled="true" e assicurarsi che sia presente la seguente riga.

   sslEnabledProtocols="TLSv1.2"