По умолчанию TLS не используется для передачи данных на некоторых локальных узлах. TLS можно включить для передачи данных на всех локальных узлах, чтобы повысить уровень безопасности.

Процедура

  1. Подключитесь к Устройство vRealize Automation с помощью SSH.
  2. Установите разрешения для хранилища ключей vcac, выполнив указанные далее команды.
    usermod -A vco,coredump,pivotal vco
    chown vcac.pivotal /etc/vcac/vcac.keystore
    chmod 640 /etc/vcac/vcac.keystore
    
  3. Обновите конфигурацию HAProxy.
    1. а. Откройте файл конфигурации HAProxy, расположенный в папке /etc/haproxy/conf.d, и выберите службу 20-vcac.cfg.
    2. б. Найдите строки, содержащие:
      server local 127.0.0.1… и добавьте в конце них: ssl verify none
      В данном разделе содержатся другие строки, например:
      backend-horizon backend-vro
      backend-vra backend-artifactory
      backend-vra-health
    3. в. Измените порт для backend-horizon с 8080 на 8443.
  4. Получите пароль keystorePass.
    1. а. Найдите свойство certificate.store.password в файле /etc/vcac/security.properties.
      Например, certificate.store.password=s2enc~iom0GXATG+RB8ff7Wdm4Bg==.
    2. б. Опишите значение с помощью следующей команды:
      vcac-config prop-util -d --p VALUE
      Например, vcac-config prop-util -d --p s2enc~iom0GXATG+RB8ff7Wdm4Bg==.
  5. Настройте службу vRealize Automation.
    1. а. Откройте файл /etc/vcac/server.xml.
    2. б. Добавьте указанный ниже атрибут в тег «Соединитель», заменив certificate.store.password на пароль хранилища сертификатов, значение которого указано в etc/vcac/security.properties.
      scheme=”https” secure=”true” SSLEnabled=”true” sslProtocol=”TLS” keystoreFile=”/etc/vcac/vcac.keystore” keyAlias=”apache” keystorePass=”certificate.store.password”
  6. Настройте службу vRealize Orchestrator.
    1. а. Откройте файл /etc/vco/app-server.xml
    2. б. Добавьте указанный ниже атрибут в тег «Соединитель», заменив certificate.store.password на пароль хранилища сертификатов, значение которого указано в etc/vcac/security.properties.
      scheme=”https” secure=”true” SSLEnabled=”true” sslProtocol=”TLS” keystoreFile=”/etc/vcac/vcac.keystore” keyAlias=”apache” keystorePass=”certificate.store.password”
  7. Перезапустите службы vRealize Orchestrator, vRealize Automation и HAProxy.
    service vcac-server restart
    service vco-server restart 
    service haproxy restart
    Примечание: Если сервер vco не перезапускается, перезагрузите главный компьютер.
  8. Настройте интерфейс управления виртуального устройства.
    Чтобы просмотреть состояние служб, выполните следующую команду на виртуальном устройстве vRealize Automation.
    curl -ks -H "Content-Type: application/json" https://localhost/component-registry/services/status/current?limit=200 | jq -re '.content[]|"\(.serviceStatus.serviceName) \(.serviceStatus.serviceInitializationStatus)"'
    Примечание: Если включить протокол SSL в интерфейсе управления виртуальными устройствами, на вкладке «Службы» нельзя будет просмотреть состояние служб vRealize Automation.
    1. а. Откройте файл /opt/vmware/share/htdocs/service/café-services/services.py.
    2. б. Измените строку conn = httplib.HTTP() на conn = httplib.HTTPS() для повышения уровня безопасности.