기본적으로 일부 localhost 통신에는 TLS가 사용되지 않습니다. 모든 localhost 연결에 TLS를 사용하도록 설정하여 보안을 강화할 수 있습니다.

이 태스크 정보

프로시저

  1. SSH를 사용하여 vRealize Automation 장치에 연결합니다.
  2. 다음 명령을 실행하여 vcac 키 저장소에 대한 사용 권한을 설정합니다.
    usermod -A vco,coredump,pivotal vco
    chown vcac.pivotal /etc/vcac/vcac.keystore
    chmod 640 /etc/vcac/vcac.keystore
    
  3. HAProxy 구성을 업데이트합니다.
    1. /etc/haproxy/conf.d에 있는 HAProxy 구성 파일을 열고 20-vcac.cfg 서비스를 선택합니다.
    2. 다음 문자열이 포함된 줄을 찾습니다.

      server local 127.0.0.1…. 그런 후 이러한 줄의 끝에 ssl verify none을 추가합니다.

      이 섹션에는 다음과 같은 줄도 포함됩니다.

      backend-horizon

      backend-vro

      backend-vra

      backend-artifactory

      backend-vra-health

    3. backend-horizon의 포트를 8080에서 8443으로 변경합니다.
  4. keystorePass의 암호를 가져옵니다.
    1. /etc/vcac/security.properties 파일에서 certificate.store.password 속성을 찾습니다.

      예: certificate.store.password=s2enc~iom0GXATG+RB8ff7Wdm4Bg==

    2. 다음 명령을 사용하여 값을 해독합니다.

      vcac-config prop-util -d --p VALUE

      예: vcac-config prop-util -d --p s2enc~iom0GXATG+RB8ff7Wdm4Bg==

  5. vRealize Automation 서비스를 구성합니다.
    1. /etc/vcac/server.xml 파일을 엽니다.
    2. Connector 태그에 다음 특성을 추가합니다. 이때 certificate.store.password를 etc/vcac/security.properties에 있는 인증서 저장소 암호 값으로 바꿉니다.
      scheme=”https” secure=”true” SSLEnabled=”true” sslProtocol=”TLS” keystoreFile=”/etc/vcac/vcac.keystore” keyAlias=”apache” keystorePass=”certificate.store.password”
  6. vRealize Orchestrator 서비스를 구성합니다.
    1. /etc/vco/app-server.xml 파일을 엽니다.
    2. Connector 태그에 다음 특성을 추가합니다. 이때 certificate.store.password를 etc/vcac/security.properties에 있는 인증서 저장소 암호 값으로 바꿉니다.
      scheme=”https” secure=”true” SSLEnabled=”true” sslProtocol=”TLS” keystoreFile=”/etc/vcac/vcac.keystore” keyAlias=”apache” keystorePass=”certificate.store.password”
  7. vRealize Orchestrator, vRealize Automation 및 haproxy 서비스를 다시 시작합니다.
    service vcac-server restart
    service vco-server restart 
    service haproxy restart
    참고:

    vco-server가 다시 시작되지 않으면 호스트 컴퓨터를 재부팅하십시오.

  8. 가상 장치 관리 인터페이스를 구성합니다.
    1. /opt/vmware/share/htdocs/service/café-services/services.py 파일을 엽니다.
    2. conn = httplib.HTTP() 줄을 conn = httplib.HTTPS()로 변경하여 보안 기능을 향상시킵니다.