강화 프로세스의 일부로 배포된 vRealize Automation 장치가 보안 전송 채널을 사용하는지 확인합니다.

프로시저

  1. SSLv3이 vRealize Automation 장치의 HAProxy https 처리기에서 사용되지 않도록 설정되었는지 확인합니다.

    이 파일 검토

    다음 항목이 있는지 확인

    표시된 대로 적절한 줄에 있음

    /etc/haproxy/conf.d/20-vcac.cfg

    no-sslv3

    bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3

    /etc/haproxy/conf.d/30-vro-config.cfg

    no-sslv3

    bind :8283 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3

  2. /etc/apache2/vhosts.d/vcac.conf 파일을 열고 SSLProtocol all -SSLv2 -SSLv3 항목이 표시되는지 확인합니다.
  3. /opt/vmware/etc/lighttpd/lighttpd.conf 파일을 열고 올바른 사용 안 함 항목이 표시되는지 확인합니다.
    ssl.use-sslv2 = "disable"
    ssl.use-sslv3 = "disable"
  4. SSLv2 및 SSLv3이 vRealize Automation 장치의 콘솔 프록시에 대해 사용되지 않도록 설정되었는지 확인합니다.
    1. 다음 줄을 추가하거나 수정하여 /etc/vcac/security.properties 파일을 편집합니다.

      consoleproxy.ssl.server.protocols = TLSv1.2, TLSv1.1, TLSv1

    2. 다음 명령을 실행하여 서버를 다시 시작합니다.

      service vcac-server restart

  5. SSLv3이 vCO 서비스에 대해 사용되지 않도록 설정되었는지 확인합니다.
    1. /etc/vco/app-server/server.xml 파일에서 <Connector> 태그를 찾고 다음 특성을 추가합니다.

      sslEnabledProtocols = "TLSv1.1,TLSv1.2,TLSv1"

    2. 다음 명령을 실행하여 vCO 서비스를 다시 시작합니다.

      service vco-server restart

  6. SSLv3이 vRealize Automation 서비스에 대해 사용되지 않도록 설정되었는지 확인합니다.
    1. /etc/vcac/server.xml 파일의 <Connector> 태그에 다음 특성을 추가합니다.

      sslEnabledProtocols = "TLSv1.1,TLSv1.2,TLSv1"

    2. 다음 명령을 실행하여 vRealize Automation 서비스를 다시 시작합니다.

      service vcac-server restart

  7. SSLv3이 RabbitMQ에 대해 사용되지 않도록 설정되었는지 확인합니다.

    /etc/rabbitmq/rabbitmq.config 파일을 열고 {versions, ['tlsv1.2', 'tlsv1.1']}이 ssl 및 ssl_options 섹션에 있는지 확인합니다.

    [
      {ssl, [
          {versions, ['tlsv1.2', 'tlsv1.1']},
          {ciphers, ["AES256-SHA", "AES128-SHA"]}
      ]},
       {rabbit, [
          {tcp_listeners, [{"127.0.0.1", 5672}]},
          {frame_max, 262144},
          {ssl_listeners, [5671]},
          {ssl_options, [
             {cacertfile, "/etc/rabbitmq/certs/ca/cacert.pem"},
             {certfile, "/etc/rabbitmq/certs/server/cert.pem"},
             {keyfile, "/etc/rabbitmq/certs/server/key.pem"},
             {versions, ['tlsv1.2', 'tlsv1.1']},
             {ciphers, ["AES256-SHA", "AES128-SHA"]},
             {verify, verify_peer},
             {fail_if_no_peer_cert, false}
          ]},
          {mnesia_table_loading_timeout,600000},
          {cluster_partition_handling, autoheal},
          {heartbeat, 600}
       ]},
       {kernel, [{net_ticktime,  120}]}
    ].
    
  8. 다음 명령을 실행하여 RabbitMQ 서버를 다시 시작합니다.

    # service rabbitmq-server restart

  9. SSLv3이 vIDM 서비스에 대해 사용되지 않도록 설정되었는지 확인합니다.

    SSLEnabled="true"가 포함된 커넥터의 각 인스턴스에 대한 /opt/vmware/horizon/workspace/config/server.xml 파일을 열고 다음 줄이 있는지 확인합니다.

    sslEnabledProtocols="TLSv1.1,TLSv1.2"