Schakel TLS 1.0 uit in de toepasselijke vRealize Automation-onderdelen.

Over deze taak

Er is geen instructie voor het uitschakelen van TLS 1.0 in Lighttpd. De beperking op gebruik van TLS 1.0 kan gedeeltelijk worden verholpen door af te dwingen dat OpenSSL geen coderingssuites van TLS 1.0 gebruikt zoals staat beschreven in stap 2 hieronder.

Procedure

  1. Schakel TLS 1.0 uit in de HAProxy https-handler op de vRealize Automation-toepassing.
    1. Voeg no-tlsv10 toe aan het eind van de volgende invoer in het bestand /etc/haproxy/conf.d/20-vcac.cfg.

      bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tlsv10

    2. Voeg no-tlsv10 toe aan het eind van de volgende invoer in het bestand /etc/haproxy/conf.d/30-vro-config.cfg.

      bind :8283 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tls10

    Opmerking:

    Verwijder no-tlsv10 uit de bindende instructie om TLS 1.0 weer in te schakelen.

  2. Controleer in Lighttpd dat OpenSSL geen coderingssuites van TLS 1.0 gebruikt.
    1. Bewerk de ssl.cipher-list-regel in het bestand /opt/vmware/etc/lighttpd/lighttpd.conf als volgt.
      ssl.cipher-list = "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256"
    2. Start lighttpd opnieuw op met de volgende opdracht:

      service vami-lighttp restart

  3. Schakel TLS 1.0 uit voor de console proxy op devRealize Automation-toepassing.
    1. Voeg de volgende regel toe in het bestand /etc/vcac/security.propertiesof wijzig hem.

      consoleproxy.ssl.server.protocols = TLSv1.2, TLSv1.1

    2. Start de server opnieuw op door de volgende opdracht uit te voeren:

      service vcac-server restart

    Opmerking:

    Laat TLSv1 als volgt weg en start vervolgens de vcac-serverservice opnieuw op om TLS 1.0 in te schakelen:

    consoleproxy.ssl.server.protocols = TLSv1.2,TLSv1.1

  4. Schakel TLS 1.0 uit voor de vCO-service.
    1. Lokaliseer de <Connector>-tag in het bestand /etc/vco/app/server/server.xml en geef hem het volgende kenmerk:

      sslEnabledProtocols = "TLSv1.1,TLSv1.2"

    2. Start de vCO-service opnieuw door de volgende opdracht uit te voeren:

      service vco-server restart

  5. Schakel TLS 1.0 uit voor de vRealize Automation-service.
    1. Lokaliseer de <Connector>-tag in het bestand /etc/vcac/server.xml en geef hem het volgende kenmerk:

      sslEnabledProtocols = "TLSv1.1,TLSv1.2"

    2. Start de vRealize Automation-service opnieuw door de volgende opdrachten uit te voeren:

      service vcac-server restart

    Opmerking:

    Voeg TLSv1 toe aan sslEnabledProtocols om TLS 1.0 weer in te schakelen. Bijvoorbeeld sslEnabledProtocols = "TLSv1.1,TLSv1.2,TLSv1"

  6. Schakel TLS 1.0 uit voor de RabbitMQ.
    1. Open het bestand /etc/rabbitmq/rabbitmq.config en controleer of tlsv1.2 en tlsv1.1 zijn toegevoegd aan de secties ssl en ssl_options, zoals getoond wordt in het volgende voorbeeld.
      [
         {ssl, [
            {versions, ['tlsv1.2', 'tlsv1.1']},
            {ciphers, ["AES256-SHA", "AES128-SHA"]}
         ]},
         {rabbit, [
            {tcp_listeners, [{"127.0.0.1", 5672}]},
            {frame_max, 262144},
            {ssl_listeners, [5671]},
            {ssl_options, [
               {cacertfile, "/etc/rabbitmq/certs/ca/cacert.pem"},
               {certfile, "/etc/rabbitmq/certs/server/cert.pem"},
               {keyfile, "/etc/rabbitmq/certs/server/key.pem"},
               {versions, ['tlsv1.2', 'tlsv1.1']},
               {ciphers, ["AES256-SHA", "AES128-SHA"]},
               {verify, verify_peer},
               {fail_if_no_peer_cert, false}
            ]},
            {mnesia_table_loading_timeout,600000},
            {cluster_partition_handling, autoheal},
            {heartbeat, 600}
         ]},
         {kernel, [{net_ticktime,  120}]}
      ].
    2. Start de RabbitMQ-server opnieuw op door de volgende opdracht uit te voeren:

      # service rabbitmq-server restart