使用可能な暗号のリストに照らし合わせて、vRealize Automation アプライアンス コンソール プロキシ サービスの暗号を確認し、強度が弱いとみなされるものすべてを無効にします。

このタスクについて

NULL 暗号スイート、aNULL、または eNULL などの認証を提供しない暗号スイートを無効にします。この他に、匿名の Diffie-Hellman キー交換 (ADH)、エクスポート レベルの暗号(EXP、DES を含んでいる暗号)、ペイロード トラフィックの暗号化に対する 128 ビットより小さいサイズのキー、ペイロード トラフィックのハッシュ メカニズムとしての MD5 の使用、IDEA 暗号スイート、および RC4 暗号スイートも無効にします。

手順

  1. /etc/vcac/security.properties ファイルをテキスト エディタで開きます。
  2. 不要な暗号スイートを無効にするには、ファイルに行を追加します。

    次の行に必要な変更を加えて使用します。

    consoleproxy.ssl.ciphers.disallowed=cipher_suite_1, cipher_suite_2,etc

    たとえば、AES 128 の暗号スイートを無効にするには、次の行を追加します。

    consoleproxy.ssl.ciphers.disallowed=TLS_DH_DSS_WITH_AES_128_CBC_SHA, TLS_DH_DSS_WITH_AES_256_CBC_SHA, TLS_DH_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA 
  3. 次のコマンドを使用してサーバを再起動します。

    servicce vcac-server restart