По умолчанию TLS не используется для передачи данных на некоторых локальных узлах. TLS можно включить для передачи данных на всех локальных узлах, чтобы повысить уровень безопасности.
Процедура
- Подключитесь к Устройство vRealize Automation с помощью SSH.
- Установите разрешения для хранилища ключей vcac, выполнив указанные далее команды.
usermod -A vco,coredump,pivotal vco chown vcac.pivotal /etc/vcac/vcac.keystore chmod 640 /etc/vcac/vcac.keystore
- Обновите конфигурацию HAProxy.
- а. Откройте файл конфигурации HAProxy, расположенный в папке /etc/haproxy/conf.d, и выберите службу 20-vcac.cfg.
- б. Найдите строки, содержащие:
server local 127.0.0.1…
и добавьте в конце них:ssl verify none
В данном разделе содержатся другие строки, например:backend-horizon backend-vro backend-vra backend-artifactory backend-vra-health - в. Измените порт для backend-horizon с 8080 на 8443.
- Получите пароль keystorePass.
- а. Найдите свойство
certificate.store.password
в файле /etc/vcac/security.properties.Например,certificate.store.password=s2enc~iom0GXATG+RB8ff7Wdm4Bg==
. - б. Опишите значение с помощью следующей команды:
vcac-config prop-util -d --p VALUE
Например,vcac-config prop-util -d --p s2enc~iom0GXATG+RB8ff7Wdm4Bg==
.
- а. Найдите свойство
- Настройте службу vRealize Automation.
- а. Откройте файл /etc/vcac/server.xml.
- б. Добавьте указанный ниже атрибут в тег «Соединитель», заменив certificate.store.password на пароль хранилища сертификатов, значение которого указано в etc/vcac/security.properties.
scheme=”https” secure=”true” SSLEnabled=”true” sslProtocol=”TLS” keystoreFile=”/etc/vcac/vcac.keystore” keyAlias=”apache” keystorePass=”certificate.store.password”
- Настройте службу vRealize Orchestrator.
- а. Откройте файл /etc/vco/app-server.xml
- б. Добавьте указанный ниже атрибут в тег «Соединитель», заменив certificate.store.password на пароль хранилища сертификатов, значение которого указано в etc/vcac/security.properties.
scheme=”https” secure=”true” SSLEnabled=”true” sslProtocol=”TLS” keystoreFile=”/etc/vcac/vcac.keystore” keyAlias=”apache” keystorePass=”certificate.store.password”
- Перезапустите службы vRealize Orchestrator, vRealize Automation и HAProxy.
service vcac-server restart service vco-server restart service haproxy restart
Примечание: Если сервер vco не перезапускается, перезагрузите главный компьютер. - Настройте интерфейс управления виртуального устройства.
Чтобы просмотреть состояние служб, выполните следующую команду на виртуальном устройстве vRealize Automation.
curl -ks -H "Content-Type: application/json" https://localhost/component-registry/services/status/current?limit=200 | jq -re '.content[]|"\(.serviceStatus.serviceName) \(.serviceStatus.serviceInitializationStatus)"'
Примечание: Если включить протокол SSL в интерфейсе управления виртуальными устройствами, на вкладке «Службы» нельзя будет просмотреть состояние служб vRealize Automation.- а. Откройте файл /opt/vmware/share/htdocs/service/café-services/services.py.
- б. Измените строку
conn = httplib.HTTP()
наconn = httplib.HTTPS()
для повышения уровня безопасности.