Controleer als onderdeel van het verhardingsproces of de geïnstalleerde vRealize Automation-toepassing gebruik maakt van beveiligde transmissiekanalen.

Opmerking:

U kunt de bewerking Deelnemen aan cluster niet uitvoeren na het uitschakelen van TLS 1.0/1.1 en het inschakelen van TLS 1.2.

Procedure

  1. Controleer of SSLv3, TLS 1.0 en TLS 1.1 zijn uitgeschakeld in de https-handlers voor HAProxy op vRealize Automation-toepassing.

    Lees dit bestand

    Controleer of het volgende aanwezig is

    Op de juiste regel als weergegeven

    /etc/haproxy/conf.d/20-vcac.cfg

    no-sslv3 no-tlsv10 no-tls11 force-tls12

    bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11

    /etc/haproxy/conf.d/30-vro-config.cfg

    no-sslv3 no-tlsv10 no-tls11 force-tls12

    bind :::8283 v4v6 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11

  2. Start de service opnieuw op.
    service haproxy restart
  3. Open het bestand /opt/vmware/etc/lighttpd/lighttpd.conf en controleer of de juiste uitschakelmogelijkheden worden weergegeven.
    Opmerking:

    Er is geen instructie voor het uitschakelen van TLS 1.0 of TLS 1.1 in Lighttpd. De beperking op het gebruik van TLS 1.0 en TLS 1.1 kan gedeeltelijk worden verholpen door ervoor te zorgen dat OpenSSL geen codesuites van TLS 1.0 en TLS 1.1 gebruikt.

    ssl.use-sslv2 = "disable"
    ssl.use-sslv3 = "disable"
  4. Controleer of SSLv3, TLS 1.0 en TLS 1.1 uitgeschakeld zijn voor de Console Proxy op de vRealize Automation-toepassing.
    1. Bewerk het bestand /etc/vcac/security.properties door de volgende regel toe te voegen of te bewerken:

      consoleproxy.ssl.server.protocols = TLSv1.2

    2. Start de server opnieuw op door de volgende opdracht uit te voeren:

      service vcac-server restart

  5. Controleer of SSLv3, TLS 1.1 en TLS 1.0 zijn uitgeschakeld voor de vCO-service.
    1. Zoek de tag <Connector> in het bestand /etc/vco/app-server/server.xml en voeg het volgende kenmerk toe:

      sslEnabledProtocols = "TLSv1.2"

    2. Start de vCO-service nogmaals door de volgende opdracht uit te voeren.

      service vco-server restart

  6. Controleer of SSLv3, TLS 1.1 en TLS 1.0 zijn uitgeschakeld voor de vRealize Automation-service.
    1. Voeg de volgende kenmerken toe aan de tag <Connector> in het bestand /etc/vcac/server.xml

      sslEnabledProtocols = "TLSv1.2"

    2. Start de vRealize Automation-service nogmaals door de volgende opdracht uit te voeren:

      service vcac-server restart

  7. Controleer of SSLv3, TLS 1.1 en TLS 1.0 zijn uitgeschakeld voor RabbitMQ.

    Open het bestand /etc/rabbitmq/rabbitmq.config en controleer of {versions, ['tlsv1.2', 'tlsv1.1']} aanwezig zijn in de secties ssl and ssl_options.

    [
      {ssl, [
          {versions, ['tlsv1.2', 'tlsv1.1']},
          {ciphers, ["AES256-SHA", "AES128-SHA"]}
      ]},
       {rabbit, [
          {tcp_listeners, [{"127.0.0.1", 5672}]},
          {frame_max, 262144},
          {ssl_listeners, [5671]},
          {ssl_options, [
             {cacertfile, "/etc/rabbitmq/certs/ca/cacert.pem"},
             {certfile, "/etc/rabbitmq/certs/server/cert.pem"},
             {keyfile, "/etc/rabbitmq/certs/server/key.pem"},
             {versions, ['tlsv1.2', 'tlsv1.1']},
             {ciphers, ["AES256-SHA", "AES128-SHA"]},
             {verify, verify_peer},
             {fail_if_no_peer_cert, false}
          ]},
          {mnesia_table_loading_timeout,600000},
          {cluster_partition_handling, autoheal},
          {heartbeat, 600}
       ]},
       {kernel, [{net_ticktime,  120}]}
    ].
    
  8. Start de RabbitMQ-server opnieuw.

    # service rabbitmq-server restart

  9. Controleer of SSLv3, TLS 1.1 en TLS 1.0 zijn uitgeschakeld voor de vIDM-service.

    Open het bestand opt/vmware/horizon/workspace/conf/server.xml voor iedere instantie van de connector met SSLEnabled="true" en zorg dat de volgende regel in het bestand staat.

    sslEnabledProtocols="TLSv1.2"