デフォルトでは、一部の localhost 通信は TLS を使用しません。セキュリティの強化を提供するため、すべての localhost 接続で TLS を有効にできます。

このタスクについて

手順

  1. SSH を使用して vRealize Automation アプライアンスに接続します。
  2. 次のコマンドを実行して、VCAC キーストアの権限を設定します。
    chown vcac.pivotal /etc/vcac/vcac.keystore
    chmod 640 /etc/vcac/vcac.keystore
    
  3. HAProxy の構成を更新します。
    1. 次の文字列を含む行を見つけます。

      「server local 127.0.0.1…」この行の末尾に「ssl verify none」を追加します。

      このセクションには、次のような行が含まれています。

      backend-horizon

      backend-vro

      backend-vra

      backend-artifactory

      backend-vra-health

    2. backend-horizon のポートを 8080 から 8443 に変更します。
  4. keystorePass のパスワードを取得します。
    1. /etc/vcac/security.properties ファイル内の certificate.store.password プロパティを見つけます。

      例:certificate.store.password=s2enc~iom0GXATG+RB8ff7Wdm4Bg==

    2. 次のコマンドを使用して、値を復号化します。

      vcac-config prop-util -d --p VALUE

      例:vcac-config prop-util -d --p s2enc~iom0GXATG+RB8ff7Wdm4Bg==

  5. vRealize Automation サービスを構成します。
    1. /etc/vcac/server.xml ファイルを開きます。
    2. 次の属性を Connector タグに追加します。certificate.store.password は、etc/vcac/security.properties にある証明書ストア パスワード値に置き換えます。
      scheme=”https” secure=”true” SSLEnabled=”true” sslProtocol=”TLS” keystoreFile=”/etc/vcac/vcac.keystore” keyAlias=”apache” keystorePass=”certificate.store.password”
  6. vRealize Orchestrator サービスを構成します。
    1. /etc/vco/app/server.xml ファイルを開きます。
    2. 次の属性を Connector タグに追加します。certificate.store.password は、etc/vcac/security.properties にある証明書ストア パスワード値に置き換えます。
      scheme=”https” secure=”true” SSLEnabled=”true” sslProtocol=”TLS” keystoreFile=”/etc/vcac/vcac.keystore” keyAlias=”apache” keystorePass=”certificate.store.password”
  7. vRealize OrchestratorvRealize Automation、および haproxy サービスを再起動します。
    service vcac-server restart
    service vco-server restart 
    service haproxy restart
  8. 仮想アプライアンス管理インターフェイスを構成します。
    1. /opt/vmware/share/htdocs/service/café-services/services.py ファイルを開きます。
    2. conn = httplib.HTTP()の行を conn = httplib.HTTPS() に変更してセキュリティを強化します。