Standaard maakt bepaalde localhost-communicatie geen gebruik van TLS. U kunt TLS inschakelen voor alle localhost-verbindingen voor nog meer veiligheid.

Procedure

  1. Maak verbinding met de vRealize Automation-toepassing met behulp van SSH.
  2. Stel de rechten voor de vcac-keystore in met de volgende opdrachten:
    chown vcac.pivotal /etc/vcac/vcac.keystore
    chmod 640 /etc/vcac/vcac.keystore
    
  3. Update de HAProxy-configuratie.
    1. Zoek de regels die de volgende tekenreeks bevatten
      server local 127.0.0.1…” en voeg het volgende toe aan het einde van deze regels “ssl verify none
      Dit gedeelte bevat tevens de volgende vergelijkbare regels:
      backend-horizon backend-vro
      backend-vra backend-artifactory
      backend-vra-health
    2. Wijzig de poort voor backend-horizon van 8080 naar 8443.
  4. Haal het wachtwoord van keystorePass op.
    1. Zoek de eigenschap certificate.store.password in het bestand /etc/vcac/security.properties.
      Bijvoorbeeld certificate.store.password=s2enc~iom0GXATG+RB8ff7Wdm4Bg==
    2. Gebruik de volgende opdracht om de waarde te ontsleutelen:
      vcac-config prop-util -d --p VALUE
      Bijvoorbeeld vcac-config prop-util -d --p s2enc~iom0GXATG+RB8ff7Wdm4Bg==
  5. Configureer de vRealize Automation-service
    1. Open het bestand /etc/vcac/server.xml.
    2. Voeg het volgende kenmerk toe aan de Connector-tag, waarbij u certificate.store.password vervangt door de certificate.store.password-waarde die staat in etc/vcac/security.properties.
      scheme=”https” secure=”true” SSLEnabled=”true” sslProtocol=”TLS” keystoreFile=”/etc/vcac/vcac.keystore” keyAlias=”apache” keystorePass=”certificate.store.password”
  6. Configureer de vRealize Orchestrator-service
    1. Open het bestand /etc/vco/app/server.xml
    2. Voeg het volgende kenmerk toe aan de Connector-tag, waarbij u certificate.store.password vervangt door de certificate.store.password-waarde die staat in etc/vcac/security.properties.
      scheme=”https” secure=”true” SSLEnabled=”true” sslProtocol=”TLS” keystoreFile=”/etc/vcac/vcac.keystore” keyAlias=”apache” keystorePass=”certificate.store.password”
  7. Start de vRealize Orchestrator, vRealize Automation en haproxy-services opnieuw.
    service vcac-server restart
    service vco-server restart 
    service haproxy restart
  8. Configureer de beheerinterface van de virtual appliance.
    1. Open het bestand /opt/vmware/share/htdocs/service/café-services/services.py.
    2. Wijzig de regel conn = httplib.HTTP() naar conn = httplib.HTTPS() om de veiligheid te vergroten.