기본적으로 일부 localhost 통신에는 TLS가 사용되지 않습니다. 모든 localhost 연결에 TLS를 사용하도록 설정하여 보안을 강화할 수 있습니다.

이 태스크 정보

프로시저

  1. SSH를 사용하여 vRealize Automation 장치에 연결합니다.
  2. 다음 명령을 실행하여 vcac 키 저장소에 대한 사용 권한을 설정합니다.
    chown vcac.pivotal /etc/vcac/vcac.keystore
    chmod 640 /etc/vcac/vcac.keystore
    
  3. HAProxy 구성을 업데이트합니다.
    1. 다음 문자열이 포함된 줄을 찾습니다.

      server local 127.0.0.1…” 그런 다음 해당 줄 끝에 다음을 추가합니다. “ssl verify none

      이 섹션에는 다음과 같은 줄도 포함됩니다.

      backend-horizon

      backend-vro

      backend-vra

      backend-artifactory

      backend-vra-health

    2. backend-horizon의 포트를 8080에서 8443으로 변경합니다.
  4. keystorePass의 암호를 가져옵니다.
    1. /etc/vcac/security.properties 파일에서 certificate.store.password 속성을 찾습니다.

      예: certificate.store.password=s2enc~iom0GXATG+RB8ff7Wdm4Bg==

    2. 다음 명령을 사용하여 값을 해독합니다.

      vcac-config prop-util -d --p VALUE

      예: vcac-config prop-util -d --p s2enc~iom0GXATG+RB8ff7Wdm4Bg==

  5. vRealize Automation 서비스를 구성합니다.
    1. /etc/vcac/server.xml 파일을 엽니다.
    2. Connector 태그에 다음 특성을 추가합니다. 이때 certificate.store.password를 etc/vcac/security.properties에 있는 인증서 저장소 암호 값으로 바꿉니다.
      scheme=”https” secure=”true” SSLEnabled=”true” sslProtocol=”TLS” keystoreFile=”/etc/vcac/vcac.keystore” keyAlias=”apache” keystorePass=”certificate.store.password”
  6. vRealize Orchestrator 서비스를 구성합니다.
    1. /etc/vco/app/server.xml 파일을 엽니다.
    2. Connector 태그에 다음 특성을 추가합니다. 이때 certificate.store.password를 etc/vcac/security.properties에 있는 인증서 저장소 암호 값으로 바꿉니다.
      scheme=”https” secure=”true” SSLEnabled=”true” sslProtocol=”TLS” keystoreFile=”/etc/vcac/vcac.keystore” keyAlias=”apache” keystorePass=”certificate.store.password”
  7. vRealize Orchestrator, vRealize Automation 및 haproxy 서비스를 다시 시작합니다.
    service vcac-server restart
    service vco-server restart 
    service haproxy restart
  8. 가상 장치 관리 인터페이스를 구성합니다.
    1. /opt/vmware/share/htdocs/service/café-services/services.py 파일을 엽니다.
    2. conn = httplib.HTTP() 줄을 conn = httplib.HTTPS()로 변경하여 보안 기능을 향상시킵니다.