Controleer als onderdeel van het verhardingsproces of de geïnstalleerde vRealize Automation-toepassing gebruik maakt van beveiligde transmissiekanalen.

Opmerking: U kunt de bewerking Deelnemen aan cluster niet uitvoeren na het uitschakelen van TLS 1.0/1.1 en het inschakelen van TLS 1.2.

Procedure

  1. Controleer of SSLv3, TLS 1.0 en TLS 1.1 zijn uitgeschakeld in de https-handlers voor HAProxy op vRealize Automation-toepassing.
    Lees dit bestand Controleer of het volgende aanwezig is Op de juiste regel als weergegeven
    /etc/haproxy/conf.d/20-vcac.cfg no-sslv3 no-tlsv10 no-tlsv11 force-tlsv12 bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11
    /etc/haproxy/conf.d/30-vro-config.cfg no-sslv3 no-tlsv10 no-tlsv11 force-tlsv12 bind :::8283 v4v6 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11
  2. Start de service opnieuw op.
    service haproxy restart
  3. Open het bestand /opt/vmware/etc/lighttpd/lighttpd.conf en controleer of de juiste uitschakelmogelijkheden worden weergegeven.
    Opmerking: Er is geen instructie voor het uitschakelen van TLS 1.0 of TLS 1.1 in Lighttpd. De beperking op het gebruik van TLS 1.0 en TLS 1.1 kan gedeeltelijk worden verholpen door ervoor te zorgen dat OpenSSL geen codesuites van TLS 1.0 en TLS 1.1 gebruikt.
    ssl.use-sslv2 = "disable"
    ssl.use-sslv3 = "disable"
  4. Controleer of SSLv3, TLS 1.0 en TLS 1.1 uitgeschakeld zijn voor de Console Proxy op de vRealize Automation-toepassing.
    1. Bewerk het bestand /etc/vcac/security.properties door de volgende regel toe te voegen of te bewerken:
      consoleproxy.ssl.server.protocols = TLSv1.2
    2. Start de server opnieuw op door de volgende opdracht uit te voeren:
      service vcac-server restart
  5. Controleer of SSLv3, TLS 1.1 en TLS 1.0 zijn uitgeschakeld voor de vCO-service.
    1. Zoek de tag <Connector> in het bestand /etc/vco/app-server/server.xml en voeg het volgende kenmerk toe:
      sslEnabledProtocols = "TLSv1.2"
    2. Start de vCO-service nogmaals door de volgende opdracht uit te voeren.
      service vco-server restart
  6. Controleer of SSLv3, TLS 1.1 en TLS 1.0 zijn uitgeschakeld voor de vRealize Automation-service.
    1. Voeg de volgende kenmerken toe aan de tag <Connector> in het bestand /etc/vcac/server.xml
      sslEnabledProtocols = "TLSv1.2"
    2. Start de vRealize Automation-service nogmaals door de volgende opdracht uit te voeren:
      service vcac-server restart
  7. Controleer of SSLv3, TLS 1.1 en TLS 1.0 zijn uitgeschakeld voor RabbitMQ.
    Open het bestand /etc/rabbitmq/rabbitmq.config en controleer of {versions, ['tlsv1.2']} aanwezig is in de secties ssl and ssl_options.
    [
      {ssl, [
          {versions, ['tlsv1.2']},
          {ciphers, ["AES256-SHA", "AES128-SHA"]}
      ]},
       {rabbit, [
          {tcp_listeners, [{"127.0.0.1", 5672}]},
          {frame_max, 262144},
          {ssl_listeners, [5671]},
          {ssl_options, [
             {cacertfile, "/etc/rabbitmq/certs/ca/cacert.pem"},
             {certfile, "/etc/rabbitmq/certs/server/cert.pem"},
             {keyfile, "/etc/rabbitmq/certs/server/key.pem"},
             {versions, ['tlsv1.2']},
             {ciphers, ["AES256-SHA", "AES128-SHA"]},
             {verify, verify_peer},
             {fail_if_no_peer_cert, false}
          ]},
          {mnesia_table_loading_timeout,600000},
          {cluster_partition_handling, autoheal},
          {heartbeat, 600}
       ]},
       {kernel, [{net_ticktime,  120}]}
    ].
    
  8. Start de RabbitMQ-server opnieuw.
    # service rabbitmq-server restart
  9. Controleer of SSLv3, TLS 1.1 en TLS 1.0 zijn uitgeschakeld voor de vIDM-service.
    1. Maak een back-up van /opt/vmware/horizon/workspace/conf/catalina.properties.
    2. Verwijder TLS versie 1.1 uit de volgende vlag:
      nio-ssl.ssl.protocols=TLSv1.1,TLSv1.2

      Na de wijziging moet de vlag als volgt zijn

      nio-ssl.ssl.protocols=TLSv1.2