적용 가능한 vRealize Automation 구성 요소에서 TLS 1.0을 사용하지 않도록 설정합니다.

이 태스크 정보

Lighttpd에서 TLS 1.0을 사용 안 함으로 설정하는 지시문은 없습니다. 아래의 2단계에 설명된 대로 OpenSSL이 TLS 1.0의 암호 그룹을 사용하지 않도록 하여 TLS 1.0 사용에 대한 제한을 부분적으로 최소화할 수 있습니다.

프로시저

  1. vRealize Automation 장치의 HAProxy https 처리기에서 TLS 1.0을 사용 안 함으로 설정합니다.
    1. /etc/haproxy/conf.d/20-vcac.cfg 파일에서 다음 항목 끝에 no-tlsv10을 추가합니다.

      bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tlsv10

    2. /etc/haproxy/conf.d/30-vro-config.cfg 파일에서 다음 항목 끝에 no-tlsv10을 추가합니다.

      bind :8283 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tls10

    참고:

    TLS 1.0을 다시 사용하도록 설정하려면 bind 지시문에서 no-tlsv10을 제거합니다.

  2. Lighttpd에서 OpenSSL이 TLS 1.0의 암호 그룹을 사용하지 않는지 확인합니다.
    1. /opt/vmware/etc/lighttpd/lighttpd.conf 파일의 ssl.cipher-list 줄을 다음과 같이 편집합니다.
      ssl.cipher-list = "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256"
    2. 다음 명령을 사용하여 lighttpd를 다시 시작합니다.

      service vami-lighttp restart

  3. vRealize Automation 장치에서 콘솔 프록시에 대해 TLS 1.0을 사용 안 함으로 설정합니다.
    1. /etc/vcac/security.properties 파일에서 다음 줄을 추가하거나 수정합니다.

      consoleproxy.ssl.server.protocols = TLSv1.2, TLSv1.1

    2. 다음 명령을 실행하여 서버를 다시 시작합니다.

      service vcac-server restart

    참고:

    TLS 1.0을 다시 사용하도록 설정하려면 다음과 같이 TLSv1을 생략한 다음 vcac-server 서비스를 다시 시작합니다.

    consoleproxy.ssl.server.protocols = TLSv1.2,TLSv1.1

  4. vCO 서비스에 대해 TLS 1.0을 사용 안 함으로 설정합니다.
    1. /etc/vco/app/server/server.xml 파일에서 <Connector> 태그를 찾아 다음 특성을 추가합니다.

      sslEnabledProtocols = "TLSv1.1,TLSv1.2"

    2. 다음 명령을 실행하여 vCO 서비스를 다시 시작합니다.

      service vco-server restart

  5. vRealize Automation 서비스에 대해 TLS 1.0을 사용 안 함으로 설정합니다.
    1. /etc/vcac/server.xml 파일에서 <Connector> 태그를 찾아 다음 특성을 추가합니다.

      sslEnabledProtocols = "TLSv1.1,TLSv1.2"

    2. 다음 명령을 실행하여 vRealize Automation 서비스를 다시 시작합니다.

      service vcac-server restart

    참고:

    TLS 1.0를 다시 사용하도록 설정하려면 sslEnabledProtocols에 TLSv1을 추가합니다. 예: sslEnabledProtocols = "TLSv1.1,TLSv1.2,TLSv1"

  6. RabbitMQ에 대해 TLS 1.0을 사용 안 함으로 설정합니다.
    1. /etc/rabbitmq/rabbitmq.config 파일을 열고 다음 예에 나와 있는 것처럼 tlsv1.2 및 tlsv1.1이 ssl 섹션과 ssl_options 섹션에 추가되었는지 확인합니다.
      [
         {ssl, [
            {versions, ['tlsv1.2', 'tlsv1.1']},
            {ciphers, ["AES256-SHA", "AES128-SHA"]}
         ]},
         {rabbit, [
            {tcp_listeners, [{"127.0.0.1", 5672}]},
            {frame_max, 262144},
            {ssl_listeners, [5671]},
            {ssl_options, [
               {cacertfile, "/etc/rabbitmq/certs/ca/cacert.pem"},
               {certfile, "/etc/rabbitmq/certs/server/cert.pem"},
               {keyfile, "/etc/rabbitmq/certs/server/key.pem"},
               {versions, ['tlsv1.2', 'tlsv1.1']},
               {ciphers, ["AES256-SHA", "AES128-SHA"]},
               {verify, verify_peer},
               {fail_if_no_peer_cert, false}
            ]},
            {mnesia_table_loading_timeout,600000},
            {cluster_partition_handling, autoheal},
            {heartbeat, 600}
         ]},
         {kernel, [{net_ticktime,  120}]}
      ].
    2. 다음 명령을 실행하여 RabbitMQ 서버를 다시 시작합니다.

      # service rabbitmq-server restart