В целях аппаратной защиты убедитесь, что развернутое устройство Устройство vRealize Automation использует защищенные каналы передачи данных.

Примечание.

После отключения TLS 1.0/1.1 и включения TLS 1.2 выполнить операцию присоединения к кластеру будет невозможно

1. Убедитесь, что SSLv3, TLS 1.0 и TLS 1.1 отключены в https-обработчиках HAProxy устройства Устройство vRealize Automation.

   Просмотрите этот файл	Проверьте наличие таких элементов	В соответствующей строке, как показано
   /etc/haproxy/conf.d/20-vcac.cfg	no-sslv3 no-tlsv10 no-tls11 force-tls12	bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11
   /etc/haproxy/conf.d/30-vro-config.cfg	no-sslv3 no-tlsv10 no-tls11 force-tls12	bind :::8283 v4v6 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11

2. Перезапустите службу.

   service haproxy restart

3. Откройте файл /opt/vmware/etc/lighttpd/lighttpd.conf и убедитесь, что в нем отображаются правильные записи отключения.
   Примечание.

   Указания относительно отключения TLS 1.0 или TLS 1.1 на сервере Lighttpd нет. Ограничение использования TLS 1.1 и TLS 1.0 можно частично обойти, запретив OpenSSL использовать наборы шифров TLS 1.0 и TLS 1.1.

   ssl.use-sslv2 = "disable"
   ssl.use-sslv3 = "disable"

4. Убедитесь, что протоколы SSLv3, TLS 1.0 и TLS 1.1 отключены для прокси-сервера консоли на Устройство vRealize Automation.
   1. Отредактируйте файл /etc/vcac/security.properties, добавив или изменив следующую строку:

      consoleproxy.ssl.server.protocols = TLSv1.2

   2. Перезапустите сервер с помощью следующей команды:

      service vcac-server restart

5. Убедитесь, что SSLv3, TLS 1.0 и TLS 1.1 отключены для службы vCO.
   1. Найдите тег <Connector> в файле /etc/vco/app-server/server.xml и добавьте следующий атрибут:

      sslEnabledProtocols = "TLSv1.2"

   2. Перезапустите службу vCO, выполнив следующую команду.

      service vco-server restart
6. Убедитесь, что SSLv3, TLS 1.0 и TLS 1.1 отключены для службы vRealize Automation.
   1. Добавьте следующие атрибуты к тегу <Connector> в файле /etc/vcac/server.xml

      sslEnabledProtocols = "TLSv1.2"

   2. Перезапустите службу vRealize Automation, выполнив следующую команду:

      service vcac-server restart

7. Убедитесь, что SSLv3, TLS 1.0 и TLS 1.1 отключены для RabbitMQ.

   Откройте файл /etc/rabbitmq/rabbitmq.config и убедитесь, что в разделах ssl и ssl_options присутствует только {versions, ['tlsv1.2']}.

   [
     {ssl, [
         {versions, ['tlsv1.2']},
         {ciphers, ["AES256-SHA", "AES128-SHA"]}
     ]},
      {rabbit, [
         {tcp_listeners, [{"127.0.0.1", 5672}]},
         {frame_max, 262144},
         {ssl_listeners, [5671]},
         {ssl_options, [
            {cacertfile, "/etc/rabbitmq/certs/ca/cacert.pem"},
            {certfile, "/etc/rabbitmq/certs/server/cert.pem"},
            {keyfile, "/etc/rabbitmq/certs/server/key.pem"},
            {versions, ['tlsv1.2']},
            {ciphers, ["AES256-SHA", "AES128-SHA"]},
            {verify, verify_peer},
            {fail_if_no_peer_cert, false}
         ]},
         {mnesia_table_loading_timeout,600000},
         {cluster_partition_handling, autoheal},
         {heartbeat, 600}
      ]},
      {kernel, [{net_ticktime,  120}]}
   ].
   

8. Перезапустите сервер RabbitMQ.

   # service rabbitmq-server restart
9. Убедитесь, что SSLv3, TLS 1.0 и TLS 1.1 отключены для службы vIDM.

   Откройте файл opt/vmware/horizon/workspace/conf/server.xml для каждого экземпляра соединителя, который содержит SSLEnabled="true", и убедитесь, что в нем есть следующая строка.

   sslEnabledProtocols="TLSv1.2"