В целях аппаратной защиты убедитесь, что развернутое устройство Устройство vRealize Automation использует защищенные каналы передачи данных.

Примечание.

После отключения TLS 1.0/1.1 и включения TLS 1.2 выполнить операцию присоединения к кластеру будет невозможно

Необходимые условия

Выполните Включение TLS в конфигурации локального узла.

Процедура

  1. Убедитесь, что SSLv3, TLS 1.0 и TLS 1.1 отключены в https-обработчиках HAProxy устройства Устройство vRealize Automation.

    Просмотрите этот файл

    Проверьте наличие таких элементов

    В соответствующей строке, как показано

    /etc/haproxy/conf.d/20-vcac.cfg

    no-sslv3 no-tlsv10 no-tls11 force-tls12

    bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11

    /etc/haproxy/conf.d/30-vro-config.cfg

    no-sslv3 no-tlsv10 no-tls11 force-tls12

    bind :::8283 v4v6 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11

  2. Перезапустите службу.
    service haproxy restart
  3. Откройте файл /opt/vmware/etc/lighttpd/lighttpd.conf и убедитесь, что в нем отображаются правильные записи отключения.
    Примечание.

    Указания относительно отключения TLS 1.0 или TLS 1.1 на сервере Lighttpd нет. Ограничение использования TLS 1.1 и TLS 1.0 можно частично обойти, запретив OpenSSL использовать наборы шифров TLS 1.0 и TLS 1.1.

    ssl.use-sslv2 = "disable"
    ssl.use-sslv3 = "disable"
  4. Убедитесь, что протоколы SSLv3, TLS 1.0 и TLS 1.1 отключены для прокси-сервера консоли на Устройство vRealize Automation.
    1. Отредактируйте файл /etc/vcac/security.properties, добавив или изменив следующую строку:

      consoleproxy.ssl.server.protocols = TLSv1.2

    2. Перезапустите сервер с помощью следующей команды:

      service vcac-server restart

  5. Убедитесь, что SSLv3, TLS 1.0 и TLS 1.1 отключены для службы vCO.
    1. Найдите тег <Connector> в файле /etc/vco/app-server/server.xml и добавьте следующий атрибут:

      sslEnabledProtocols = "TLSv1.2"

    2. Перезапустите службу vCO, выполнив следующую команду.

      service vco-server restart

  6. Убедитесь, что SSLv3, TLS 1.0 и TLS 1.1 отключены для службы vRealize Automation.
    1. Добавьте следующие атрибуты к тегу <Connector> в файле /etc/vcac/server.xml

      sslEnabledProtocols = "TLSv1.2"

    2. Перезапустите службу vRealize Automation, выполнив следующую команду:

      service vcac-server restart

  7. Убедитесь, что SSLv3, TLS 1.0 и TLS 1.1 отключены для RabbitMQ.

    Откройте файл /etc/rabbitmq/rabbitmq.config и убедитесь, что в разделах ssl и ssl_options присутствует только {versions, ['tlsv1.2']}.

    [
      {ssl, [
          {versions, ['tlsv1.2']},
          {ciphers, ["AES256-SHA", "AES128-SHA"]}
      ]},
       {rabbit, [
          {tcp_listeners, [{"127.0.0.1", 5672}]},
          {frame_max, 262144},
          {ssl_listeners, [5671]},
          {ssl_options, [
             {cacertfile, "/etc/rabbitmq/certs/ca/cacert.pem"},
             {certfile, "/etc/rabbitmq/certs/server/cert.pem"},
             {keyfile, "/etc/rabbitmq/certs/server/key.pem"},
             {versions, ['tlsv1.2']},
             {ciphers, ["AES256-SHA", "AES128-SHA"]},
             {verify, verify_peer},
             {fail_if_no_peer_cert, false}
          ]},
          {mnesia_table_loading_timeout,600000},
          {cluster_partition_handling, autoheal},
          {heartbeat, 600}
       ]},
       {kernel, [{net_ticktime,  120}]}
    ].
    
  8. Перезапустите сервер RabbitMQ.

    # service rabbitmq-server restart

  9. Убедитесь, что SSLv3, TLS 1.0 и TLS 1.1 отключены для службы vIDM.

    Откройте файл opt/vmware/horizon/workspace/conf/server.xml для каждого экземпляра соединителя, который содержит SSLEnabled="true", и убедитесь, что в нем есть следующая строка.

    sslEnabledProtocols="TLSv1.2"