適切な vRealize Automation コンポーネントで TLS 1.0 を無効にします。

このタスクについて

Lighttpd には、TLS 1.0 を無効にするディレクティブがありません。下の手順 2 の説明のとおり、OpenSSL が TLS 1.0 の暗号スイートを使用しないように設定することで、TLS 1.0 の使用に関する制限を部分的に軽減できます。

手順

  1. vRealize Automation アプライアンスの HAProxy https ハンドラで TLS 1.0 を無効にします。
    1. no-tlsv10 を、 /etc/haproxy/conf.d/20-vcac.cfg ファイルの次のエントリの最後に追加します。

      bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tlsv10

    2. no-tlsv10 を、/etc/haproxy/conf.d/30-vro-config.cfg ファイルの次のエントリの最後に追加します。

      bind :8283 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tls10

    注:

    TLS 1.0 を再度有効にするには、バインド ディレクティブから no-tlsv10 を削除します。

  2. Lighttpd で、OpenSSL が TLS 1.0 の暗号スイートを使用しないことを確認します。
    1. /opt/vmware/etc/lighttpd/lighttpd.conf ファイルの ssl.cipher-list 行を、次のように編集します。
      ssl.cipher-list = "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256"
    2. 次のコマンドを使用して、lighttpd を再起動します。

      service vami-lighttp restart

  3. vRealize Automation アプライアンスのコンソール プロキシの TLS 1.0 を無効にします。
    1. /etc/vcac/security.properties ファイルで、次の行を追加または変更します。

      consoleproxy.ssl.server.protocols = TLSv1.2, TLSv1.1

    2. 次のコマンドを実行して、サーバを再起動します。

      service vcac-server restart

    注:

    TLS 1.0 を再度有効にするには、次のように TLSv1 を省略し、vcac-server サービスを再起動します。

    consoleproxy.ssl.server.protocols = TLSv1.2,TLSv1.1

  4. vCO サービスの TLS 1.0 を無効にします。
    1. /etc/vco/app/server/server.xml ファイル内の <Connector> タグを見つけて、次の属性を追加します。

      sslEnabledProtocols = "TLSv1.1,TLSv1.2"

    2. 次のコマンドを実行して、vCO サービスを再起動します。

      service vco-server restart

  5. vRealize Automation サービスの TLS 1.0 を無効にします。
    1. /etc/vcac/server.xml ファイル内の <Connector> タグを見つけて、次の属性を追加します。

      sslEnabledProtocols = "TLSv1.1,TLSv1.2"

    2. 次のコマンドを実行して、vRealize Automation サービスを再起動します。

      service vcac-server restart

    注:

    TLS 1.0 を再度有効にするには、TLSv1 を sslEnabledProtocols に追加します。例:sslEnabledProtocols = "TLSv1.1,TLSv1.2,TLSv1"

  6. RabbitMQ の TLS 1.0 を無効にします。
    1. /etc/rabbitmq/rabbitmq.config ファイルを開き、次の例に示すように、tlsv1.2 および tlsv1.1 が ssl および ssl_options セクションに追加されていることを確認します。
      [
         {ssl, [
            {versions, ['tlsv1.2', 'tlsv1.1']},
            {ciphers, ["AES256-SHA", "AES128-SHA"]}
         ]},
         {rabbit, [
            {tcp_listeners, [{"127.0.0.1", 5672}]},
            {frame_max, 262144},
            {ssl_listeners, [5671]},
            {ssl_options, [
               {cacertfile, "/etc/rabbitmq/certs/ca/cacert.pem"},
               {certfile, "/etc/rabbitmq/certs/server/cert.pem"},
               {keyfile, "/etc/rabbitmq/certs/server/key.pem"},
               {versions, ['tlsv1.2', 'tlsv1.1']},
               {ciphers, ["AES256-SHA", "AES128-SHA"]},
               {verify, verify_peer},
               {fail_if_no_peer_cert, false}
            ]},
            {mnesia_table_loading_timeout,600000},
            {cluster_partition_handling, autoheal},
            {heartbeat, 600}
         ]},
         {kernel, [{net_ticktime,  120}]}
      ].
    2. 次のコマンドを実行して、RabbitMQ サーバを再起動します。

      # service rabbitmq-server restart