강화 프로세스의 일부로 배포된 vRealize Automation 장치가 보안 전송 채널을 사용하는지 확인합니다.

시작하기 전에

Localhost 구성에 TLS 사용을 완료합니다.

프로시저

  1. SSLv3이 vRealize Automation 장치의 HAProxy https 처리기에서 사용되지 않도록 설정되었는지 확인합니다.

    이 파일 검토

    다음 항목이 있는지 확인

    표시된 대로 적절한 줄에 있음

    /etc/haproxy/conf.d/20-vcac.cfg

    no-sslv3

    bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tlsv10

    /etc/haproxy/conf.d/30-vro-config.cfg

    no-sslv3

    bind :8283 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tlsv10

  2. /opt/vmware/etc/lighttpd/lighttpd.conf 파일을 열고 올바른 사용 안 함 항목이 표시되는지 확인합니다.
    ssl.use-sslv2 = "disable"
    ssl.use-sslv3 = "disable"
  3. vRealize Automation 장치에서 콘솔 프록시에 대해 SSLv3을 사용하지 않도록 설정했는지 확인합니다.
    1. 다음 줄을 추가하거나 수정하여 /etc/vcac/security.properties 파일을 편집합니다.

      consoleproxy.ssl.server.protocols = TLSv1.2, TLSv1.1

    2. 다음 명령을 실행하여 서버를 다시 시작합니다.

      service vcac-server restart

  4. SSLv3이 vCO 서비스에 대해 사용되지 않도록 설정되었는지 확인합니다.
    1. /etc/vco/app-server/server.xml 파일에서 <Connector> 태그를 찾고 다음 특성을 추가합니다.

      sslEnabledProtocols = "TLSv1.1,TLSv1.2"

    2. 다음 명령을 실행하여 vCO 서비스를 다시 시작합니다.

      service vco-server restart

  5. SSLv3이 vRealize Automation 서비스에 대해 사용되지 않도록 설정되었는지 확인합니다.
    1. /etc/vcac/server.xml 파일의 <Connector> 태그에 다음 특성을 추가합니다.

      sslEnabledProtocols = "TLSv1.1,TLSv1.2"

    2. 다음 명령을 실행하여 vRealize Automation 서비스를 다시 시작합니다.

      service vcac-server restart

  6. SSLv3이 RabbitMQ에 대해 사용되지 않도록 설정되었는지 확인합니다.

    /etc/rabbitmq/rabbitmq.config 파일을 열고 {versions, ['tlsv1.2', 'tlsv1.1']}이 ssl 및 ssl_options 섹션에 있는지 확인합니다.

    [
      {ssl, [
          {versions, ['tlsv1.2', 'tlsv1.1']},
          {ciphers, ["AES256-SHA", "AES128-SHA"]}
      ]},
       {rabbit, [
          {tcp_listeners, [{"127.0.0.1", 5672}]},
          {frame_max, 262144},
          {ssl_listeners, [5671]},
          {ssl_options, [
             {cacertfile, "/etc/rabbitmq/certs/ca/cacert.pem"},
             {certfile, "/etc/rabbitmq/certs/server/cert.pem"},
             {keyfile, "/etc/rabbitmq/certs/server/key.pem"},
             {versions, ['tlsv1.2', 'tlsv1.1']},
             {ciphers, ["AES256-SHA", "AES128-SHA"]},
             {verify, verify_peer},
             {fail_if_no_peer_cert, false}
          ]},
          {mnesia_table_loading_timeout,600000},
          {cluster_partition_handling, autoheal},
          {heartbeat, 600}
       ]},
       {kernel, [{net_ticktime,  120}]}
    ].
    
  7. 다음 명령을 실행하여 RabbitMQ 서버를 다시 시작합니다.

    # service rabbitmq-server restart

  8. SSLv3이 vIDM 서비스에 대해 사용되지 않도록 설정되었는지 확인합니다.

    SSLEnabled="true"가 포함된 커넥터의 각 인스턴스에 대한 /opt/vmware/horizon/workspace/config/server.xml 파일을 열고 다음 줄이 있는지 확인합니다.

    sslEnabledProtocols="TLSv1.1,TLSv1.2"