В целях аппаратной защиты убедитесь, что развернутое устройство Устройство vRealize Automation использует защищенные каналы передачи данных.

Примечание: После отключения TLS 1.0/1.1 и включения TLS 1.2 выполнить операцию присоединения к кластеру будет невозможно

Необходимые условия

Выполните Включение TLS в конфигурации локального узла.

Процедура

  1. Убедитесь, что SSLv3, TLS 1.0 и TLS 1.1 отключены в https-обработчиках HAProxy устройства Устройство vRealize Automation.
    Просмотрите этот файл Проверьте наличие таких элементов В соответствующей строке, как показано
    /etc/haproxy/conf.d/20-vcac.cfg no-sslv3 no-tlsv10 no-tlsv11 force-tlsv12 bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11
    /etc/haproxy/conf.d/30-vro-config.cfg no-sslv3 no-tlsv10 no-tlsv11 force-tlsv12 bind :::8283 v4v6 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11
  2. Перезапустите службу. 
    service haproxy restart
  3. Откройте файл /opt/vmware/etc/lighttpd/lighttpd.conf и убедитесь, что в нем отображаются правильные записи отключения.
    Примечание: Указания относительно отключения TLS 1.0 или TLS 1.1 на сервере Lighttpd нет. Ограничение использования TLS 1.1 и TLS 1.0 можно частично обойти, запретив OpenSSL использовать наборы шифров TLS 1.0 и TLS 1.1. 
    ssl.use-sslv2 = "disable"
ssl.use-sslv3 = "disable"
  4. Убедитесь, что протоколы SSLv3, TLS 1.0 и TLS 1.1 отключены для прокси-сервера консоли на Устройство vRealize Automation.
    1. а. Отредактируйте файл /etc/vcac/security.properties, добавив или изменив следующую строку:
      consoleproxy.ssl.server.protocols = TLSv1.2
    2. б. Перезапустите сервер с помощью следующей команды:
      service vcac-server restart
  5. Убедитесь, что SSLv3, TLS 1.0 и TLS 1.1 отключены для службы vCO.
    1. а. Найдите тег <Connector> в файле /etc/vco/app-server/server.xml и добавьте следующий атрибут:
      sslEnabledProtocols = "TLSv1.2"
    2. б. Перезапустите службу vCO, выполнив следующую команду.
      service vco-server restart
  6. Убедитесь, что SSLv3, TLS 1.0 и TLS 1.1 отключены для службы vRealize Automation.
    1. а. Добавьте следующие атрибуты к тегу <Connector> в файле /etc/vcac/server.xml
      sslEnabledProtocols = "TLSv1.2"
    2. б. Перезапустите службу vRealize Automation, выполнив следующую команду:
      service vcac-server restart
  7. Убедитесь, что SSLv3, TLS 1.0 и TLS 1.1 отключены для RabbitMQ.
    Откройте файл /etc/rabbitmq/rabbitmq.config и убедитесь, что в разделах ssl и ssl_options присутствует только {versions, ['tlsv1.2']}. 
    [
  {ssl, [
      {versions, ['tlsv1.2']},
      {ciphers, ["AES256-SHA", "AES128-SHA"]}
  ]},
   {rabbit, [
      {tcp_listeners, [{"127.0.0.1", 5672}]},
      {frame_max, 262144},
      {ssl_listeners, [5671]},
      {ssl_options, [
         {cacertfile, "/etc/rabbitmq/certs/ca/cacert.pem"},
         {certfile, "/etc/rabbitmq/certs/server/cert.pem"},
         {keyfile, "/etc/rabbitmq/certs/server/key.pem"},
         {versions, ['tlsv1.2']},
         {ciphers, ["AES256-SHA", "AES128-SHA"]},
         {verify, verify_peer},
         {fail_if_no_peer_cert, false}
      ]},
      {mnesia_table_loading_timeout,600000},
      {cluster_partition_handling, autoheal},
      {heartbeat, 600}
   ]},
   {kernel, [{net_ticktime,  120}]}
].
  8. Перезапустите сервер RabbitMQ.
    # service rabbitmq-server restart
  9. Убедитесь, что SSLv3, TLS 1.0 и TLS 1.1 отключены для службы vIDM.
    1. а. Создайте резервную копию объекта /opt/vmware/horizon/workspace/conf/catalina.properties.
    2. б. Удалите TLS версии 1.1 из следующего флага: 
      nio-ssl.ssl.protocols=TLSv1.1,TLSv1.2

      После изменения флаг должен выглядеть так:

      nio-ssl.ssl.protocols=TLSv1.2