使用可能な暗号のリストに照らし合わせて、vRealize Automation アプライアンス HA プロキシ サービスの暗号を確認し、強度が弱いとみなされるものすべてを無効にします。

このタスクについて

NULL 暗号スイート、aNULL、または eNULL などの認証を提供しない暗号スイートを無効にします。この他に、匿名の Diffie-Hellman キー交換 (ADH)、エクスポート レベルの暗号(EXP、DES を含んでいる暗号)、ペイロード トラフィックの暗号化に対する 128 ビットより小さいサイズのキー、ペイロード トラフィックのハッシュ メカニズムとしての MD5 の使用、IDEA 暗号スイート、および RC4 暗号スイートも無効にします。

手順

  1. /etc/haproxy/conf.d/20-vcac.cfg ファイルのバインド ディレクティブの暗号エントリを確認し、強度が弱いとみなされるすべてのものを無効にします。

    bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tlsv10

  2. /etc/haproxy/conf.d/30-vro-config.cfg ファイルのバインド ディレクティブの暗号エントリを確認し、強度が弱いとみなされるすべてのものを無効にします。

    bind :8283 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tls10