По умолчанию TLS не используется для передачи данных на некоторых локальных узлах. TLS можно включить для передачи данных на всех локальных узлах, чтобы повысить уровень безопасности.

Процедура

  1. Подключитесь к Устройство vRealize Automation с помощью SSH.
  2. Установите разрешения для хранилища ключей vcac, выполнив указанные далее команды. 
    usermod -A vco,coredump,pivotal vco
chown vcac.pivotal /etc/vcac/vcac.keystore
chmod 640 /etc/vcac/vcac.keystore
  3. Обновите конфигурацию HAProxy.
    1. Откройте файл конфигурации HAProxy, расположенный в папке /etc/haproxy/conf.d, и выберите службу 20-vcac.cfg.
    2. Найдите строки, содержащие:

      server local 127.0.0.1… и добавьте в конце них: ssl verify none

      В данном разделе содержатся другие строки, например:

      backend-horizon

      backend-vro

      backend-vra

      backend-artifactory

      backend-vra-health

    3. Измените порт для backend-horizon с 8080 на 8443.
  4. Получите пароль keystorePass.
    1. Найдите свойство certificate.store.password в файле /etc/vcac/security.properties.

      Например, certificate.store.password=s2enc~iom0GXATG+RB8ff7Wdm4Bg==.

    2. Опишите значение с помощью следующей команды:

      vcac-config prop-util -d --p VALUE

      Например, vcac-config prop-util -d --p s2enc~iom0GXATG+RB8ff7Wdm4Bg==.

  5. Настройте службу vRealize Automation.
    1. Откройте файл /etc/vcac/server.xml.
    2. Добавьте указанный ниже атрибут в тег «Соединитель», заменив certificate.store.password на пароль хранилища сертификатов, значение которого указано в etc/vcac/security.properties. 
      scheme=”https” secure=”true” SSLEnabled=”true” sslProtocol=”TLS” keystoreFile=”/etc/vcac/vcac.keystore” keyAlias=”apache” keystorePass=”certificate.store.password”
  6. Настройте службу vRealize Orchestrator.
    1. Откройте файл /etc/vco/app-server.xml
    2. Добавьте указанный ниже атрибут в тег «Соединитель», заменив certificate.store.password на пароль хранилища сертификатов, значение которого указано в etc/vcac/security.properties. 
      scheme=”https” secure=”true” SSLEnabled=”true” sslProtocol=”TLS” keystoreFile=”/etc/vcac/vcac.keystore” keyAlias=”apache” keystorePass=”certificate.store.password”
  7. Перезапустите службы vRealize Orchestrator, vRealize Automation и HAProxy. 
    service vcac-server restart
service vco-server restart 
service haproxy restart
    Примечание.

    Если сервер vco не перезапускается, перезагрузите главный компьютер.

  8. Настройте интерфейс управления виртуального устройства.

    Чтобы просмотреть состояние служб, выполните следующую команду на виртуальном устройстве vRealize Automation. 

    curl -ks -H "Content-Type: application/json" https://localhost/component-registry/services/status/current?limit=200 | jq -re '.content[]|"\(.serviceStatus.serviceName) \(.serviceStatus.serviceInitializationStatus)"'
    Примечание.

    Если включить протокол SSL в интерфейсе управления виртуальными устройствами, на вкладке «Службы» нельзя будет просмотреть состояние служб vRealize Automation.

    1. Откройте файл /opt/vmware/share/htdocs/service/café-services/services.py.
    2. Измените строку conn = httplib.HTTP() на conn = httplib.HTTPS() для повышения уровня безопасности.