Controleer als onderdeel van het verhardingsproces of de geïnstalleerde vRealize Automation-toepassing gebruik maakt van beveiligde transmissiekanalen.

Procedure

  1. Controleer of SSLv3 uitgeschakeld is in de HAProxy https handlers op de vRealize Automation-toepassing.

    Lees dit bestand

    Controleer of het volgende aanwezig is

    Op de juiste regel als weergegeven

    /etc/haproxy/conf.d/20-vcac.cfg

    no-sslv3

    bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3

    /etc/haproxy/conf.d/30-vro-config.cfg

    no-sslv3

    bind :8283 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3

  2. Open het bestand /etc/apache2/vhosts.d/vcac.conf en controleer of de invoer SSLProtocol all -SSLv2 -SSLv3 wordt weergegeven.
  3. Open het bestand /opt/vmware/etc/lighttpd/lighttpd.conf en controleer of de juiste uitschakelmogelijkheden worden weergegeven.
    ssl.use-sslv2 = "disable"
    ssl.use-sslv3 = "disable"
  4. Controleer of SSLv2 en SSLv3 uitgeschakeld zijn voor de Console Proxy op de vRealize Automation-toepassing.
    1. Bewerk het bestand /etc/vcac/security.properties door de volgende regel toe te voegen of te bewerken:

      consoleproxy.ssl.server.protocols = TLSv1.2, TLSv1.1, TLSv1

    2. Start de server opnieuw op door de volgende opdracht uit te voeren:

      service vcac-server restart

  5. Controleer of SSLv3 is uitgeschakeld voor de vCO-service.
    1. Zoek de tag <Connector> in het bestand /etc/vco/app-server/server.xml en voeg het volgende kenmerk toe:

      sslEnabledProtocols = "TLSv1.1,TLSv1.2,TLSv1"

    2. Start de vCO-service nogmaals door de volgende opdracht uit te voeren.

      service vco-server restart

  6. Controleer of SSLv3 is uitgeschakeld voor de vRealize Automation-service.
    1. Voeg de volgende kenmerken toe aan de tag <Connector> in het bestand /etc/vcac/server.xml

      sslEnabledProtocols = "TLSv1.1,TLSv1.2,TLSv1"

    2. Start de vRealize Automation-service nogmaals door de volgende opdracht uit te voeren:

      service vcac-server restart

  7. Controleer of SSLv3 is uitgeschakeld voor RabbitMQ.

    Open het bestand /etc/rabbitmq/rabbitmq.config en controleer of {versions, ['tlsv1.2', 'tlsv1.1']} aanwezig zijn in de secties ssl and ssl_options.

    [
      {ssl, [
          {versions, ['tlsv1.2', 'tlsv1.1']},
          {ciphers, ["AES256-SHA", "AES128-SHA"]}
      ]},
       {rabbit, [
          {tcp_listeners, [{"127.0.0.1", 5672}]},
          {frame_max, 262144},
          {ssl_listeners, [5671]},
          {ssl_options, [
             {cacertfile, "/etc/rabbitmq/certs/ca/cacert.pem"},
             {certfile, "/etc/rabbitmq/certs/server/cert.pem"},
             {keyfile, "/etc/rabbitmq/certs/server/key.pem"},
             {versions, ['tlsv1.2', 'tlsv1.1']},
             {ciphers, ["AES256-SHA", "AES128-SHA"]},
             {verify, verify_peer},
             {fail_if_no_peer_cert, false}
          ]},
          {mnesia_table_loading_timeout,600000},
          {cluster_partition_handling, autoheal},
          {heartbeat, 600}
       ]},
       {kernel, [{net_ticktime,  120}]}
    ].
    
  8. Start de RabbitMQ-server opnieuw op door de volgende opdracht uit te voeren:

    # service rabbitmq-server restart

  9. Controleer of SSLv3 is uitgeschakeld voor de vIDM-service.

    Open het bestand /opt/vmware/horizon/workspace/config/server.xml voor iedere instantie van de connector met SSLEnabled="true" en zorg dat de volgende regel in het bestand staat.

    sslEnabledProtocols="TLSv1.1,TLSv1.2"