Esaminare i pacchetti di crittografia del servizio proxy della console dell'appliance vRealize Automation facendo riferimento all'elenco di pacchetti accettabili e disabilitare tutti quelli considerati deboli.

Disabilitare i pacchetti di crittografia che non offrono autenticazione, come i pacchetti di crittografia NULL, ovvero aNULL o eNULL. Disabilitare inoltre lo scambio di chiavi Diffie-Hellman anonimo (ADH), le crittografie a livello di esportazione (EXP, crittografie che contengono DES), le dimensioni di chiave inferiori a 128 bit per la codifica del traffico del payload, l'uso di MD5 come meccanismo di hashing per il traffico del payload, i pacchetti di crittografia IDEA e i pacchetti di crittografia RC4.

Procedura

  1. Aprire il file /etc/vcac/security.properties in un editor di testo.
  2. Aggiungere una riga al file per disabilitare i pacchetti di crittografia indesiderati.

    Utilizzare una variante della riga seguente:

    consoleproxy.ssl.ciphers.disallowed=pacchetto_crittografia_1, pacchetto_crittografia_2 e così via

    Ad esempio, per disabilitare i pacchetti di crittografia AES 128 e AES 256, aggiungere la riga seguente:

    consoleproxy.ssl.ciphers.disallowed=TLS_DH_DSS_WITH_AES_128_CBC_SHA, TLS_DH_DSS_WITH_AES_256_CBC_SHA, TLS_DH_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA 
  3. Riavviare il server con il comando seguente.

    service vcac-server restart