Nell'ambito del processo dell'applicazione della protezione avanzata, assicurarsi che Appliance vRealize Automation utilizzi canali di trasmissione sicuri.

Nota: Non è possibile eseguire l'operazione di unione cluster una volta disabilitato TLS 1.0/1.1 e abilitato TLS 1.2

Prerequisiti

Completare la procedura Abilitare TLS nella configurazione localhost.

Procedura

  1. Verificare che SSLv3, TLS 1.0 e TLS 1.1 siano disabilitati nei gestori https HAProxy in Appliance vRealize Automation.
    File da esaminare Parametro che deve essere presente Nella riga appropriata corrispondente
    /etc/haproxy/conf.d/20-vcac.cfg no-sslv3 no-tlsv10 no-tlsv11 force-tlsv12 bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11
    /etc/haproxy/conf.d/30-vro-config.cfg no-sslv3 no-tlsv10 no-tlsv11 force-tlsv12 bind :::8283 v4v6 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11
  2. Riavviare il servizio. 
    service haproxy restart
  3. Aprire il file /opt/vmware/etc/lighttpd/lighttpd.conf e verificare che contenga le voci di disabilitazione corrette.
    Nota: Non sono disponibili direttive per la disabilitazione di TLS 1.0 o TLS 1.1 in Lighttpd. La restrizione sull'utilizzo di TLS 1.1 e TLS 1.0 può essere parzialmente mitigata facendo in modo che OpenSSL non utilizzi le suite di crittografia di TLS 1.0 e TLS 1.1. 
    ssl.use-sslv2 = "disable"
ssl.use-sslv3 = "disable"
  4. Verificare che SSLv3, TLS 1.0 e TLS 1.1 siano disabilitati per il proxy della console in Appliance vRealize Automation.
    1. Modificare il file /etc/vcac/security.properties aggiungendo o modificando la riga seguente:
      consoleproxy.ssl.server.protocols = TLSv1.2
    2. Riavviare il server eseguendo il comando seguente:
      service vcac-server restart
  5. Verificare che SSLv3, TLS 1.0 e TLS 1.1 siano disabilitati per il servizio vCO.
    1. Individuare il tag <Connector> nel file /etc/vco/app-server/server.xml e aggiungere il seguente attributo:
      sslEnabledProtocols = "TLSv1.2"
    2. Riavviare il servizio vCO con il seguente comando.
      service vco-server restart
  6. Verificare che SSLv3, TLS 1.0 e TLS 1.1 siano disabilitati per il servizio vRealize Automation.
    1. Aggiungere i seguenti attributi al tag <Connector> nel file /etc/vcac/server.xml.
      sslEnabledProtocols = "TLSv1.2"
    2. Riavviare il servizio vRealize Automation mediante il seguente comando:
      service vcac-server restart
  7. Verificare che SSLv3, TLS 1.0 e TLS 1.1 siano disabilitati per RabbitMQ.
    Aprire il file /etc/rabbitmq/rabbitmq.config e verificare che solo {versions, ['tlsv1.2']} sia presente nelle sezioni ssl e ssl_options. 
    [
  {ssl, [
      {versions, ['tlsv1.2']},
      {ciphers, ["AES256-SHA", "AES128-SHA"]}
  ]},
   {rabbit, [
      {tcp_listeners, [{"127.0.0.1", 5672}]},
      {frame_max, 262144},
      {ssl_listeners, [5671]},
      {ssl_options, [
         {cacertfile, "/etc/rabbitmq/certs/ca/cacert.pem"},
         {certfile, "/etc/rabbitmq/certs/server/cert.pem"},
         {keyfile, "/etc/rabbitmq/certs/server/key.pem"},
         {versions, ['tlsv1.2']},
         {ciphers, ["AES256-SHA", "AES128-SHA"]},
         {verify, verify_peer},
         {fail_if_no_peer_cert, false}
      ]},
      {mnesia_table_loading_timeout,600000},
      {cluster_partition_handling, autoheal},
      {heartbeat, 600}
   ]},
   {kernel, [{net_ticktime,  120}]}
].
  8. Riavviare il server RabbitMQ.
    # service rabbitmq-server restart
  9. Verificare che SSLv3, TLS 1.0 e TLS 1.1 siano disabilitati per il servizio vIDM.
    1. Eseguire un backup di /opt/vmware/horizon/workspace/conf/catalina.properties.
    2. Rimuovere TLS versione 1.1 dal flag seguente: 
      nio-ssl.ssl.protocols=TLSv1.1,TLSv1.2

      Il flag dopo la modifica deve essere

      nio-ssl.ssl.protocols=TLSv1.2