허용되는 암호 목록을 기준으로 vRealize Automation 장치 HA 프록시 서비스 암호를 검토하고 약한 것으로 생각되는 모든 암호를 사용 안 함으로 설정합니다.

이 태스크 정보

NULL 암호 그룹, aNULL 또는 eNULL과 같이 인증을 제공하지 않는 암호 그룹은 사용하지 않도록 설정합니다. 또한 익명 Diffie-Hellman 키 교환(ADH), 내보내기 수준 암호(EXP, DES를 포함하는 암호), 페이로드 트래픽 암호화에 대한 128비트 미만의 키 크기, 페이로드 트래픽에 대한 해시 메커니즘으로 MD5 사용, IDEA 암호화 그룹 및 RC4 암호화 그룹을 사용하지 않도록 설정합니다.

프로시저

  1. /etc/haproxy/conf.d/20-vcac.cfg 파일에서 bind 지시문의 암호 항목을 검토하고, 약한 것으로 생각되는 모든 암호를 사용 안 함으로 설정합니다.

    bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tlsv10

  2. /etc/haproxy/conf.d/30-vro-config.cfg 파일에서 bind 지시문의 암호 항목을 검토하고, 약한 것으로 생각되는 모든 암호를 사용 안 함으로 설정합니다.

    bind :8283 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tls10