Standaard maakt bepaalde localhost-communicatie geen gebruik van TLS. U kunt TLS inschakelen voor alle localhost-verbindingen voor nog meer veiligheid.

Over deze taak

Procedure

  1. Maak verbinding met de vRealize Automation-toepassing met behulp van SSH.
  2. Stel de rechten voor de vcac-keystore in met de volgende opdrachten:
    chown vcac.pivotal /etc/vcac/vcac.keystore
    chmod 640 /etc/vcac/vcac.keystore
    
  3. Update de HAProxy-configuratie.
    1. Zoek de regels die de volgende tekenreeks bevatten

      server local 127.0.0.1…” en voeg het volgende toe aan het einde van deze regels “ssl verify none

      Dit gedeelte bevat tevens de volgende vergelijkbare regels:

      backend-horizon

      backend-vro

      backend-vra

      backend-artifactory

      backend-vra-health

    2. Wijzig de poort voor backend-horizon van 8080 naar 8443.
  4. Haal het wachtwoord van keystorePass op.
    1. Zoek de eigenschap certificate.store.password in het bestand /etc/vcac/security.properties.

      Bijvoorbeeld certificate.store.password=s2enc~iom0GXATG+RB8ff7Wdm4Bg==

    2. Gebruik de volgende opdracht om de waarde te ontsleutelen:

      vcac-config prop-util -d --p VALUE

      Bijvoorbeeld vcac-config prop-util -d --p s2enc~iom0GXATG+RB8ff7Wdm4Bg==

  5. Configureer de vRealize Automation-service
    1. Open het bestand /etc/vcac/server.xml.
    2. Voeg het volgende kenmerk toe aan de Connector-tag, waarbij u certificate.store.password vervangt door de certificate.store.password-waarde die staat in etc/vcac/security.properties.
      scheme=”https” secure=”true” SSLEnabled=”true” sslProtocol=”TLS” keystoreFile=”/etc/vcac/vcac.keystore” keyAlias=”apache” keystorePass=”certificate.store.password”
  6. Configureer de vRealize Orchestrator-service
    1. Open het bestand /etc/vco/app/server.xml
    2. Voeg het volgende kenmerk toe aan de Connector-tag, waarbij u certificate.store.password vervangt door de certificate.store.password-waarde die staat in etc/vcac/security.properties.
      scheme=”https” secure=”true” SSLEnabled=”true” sslProtocol=”TLS” keystoreFile=”/etc/vcac/vcac.keystore” keyAlias=”apache” keystorePass=”certificate.store.password”
  7. Start de vRealize Orchestrator, vRealize Automation en haproxy-services opnieuw.
    service vcac-server restart
    service vco-server restart 
    service haproxy restart
  8. Configureer de beheerinterface van de virtual appliance.
    1. Open het bestand /opt/vmware/share/htdocs/service/café-services/services.py.
    2. Wijzig de regel conn = httplib.HTTP() naar conn = httplib.HTTPS() om de veiligheid te vergroten.