В целях аппаратной защиты убедитесь, что развернутое устройство Устройство vRealize Automation использует защищенные каналы передачи данных.
После отключения TLS 1.0/1.1 и включения TLS 1.2 выполнить операцию присоединения к кластеру будет невозможно
Необходимые условия
Выполните Включение TLS в конфигурации локального узла.
Процедура
- Убедитесь, что SSLv3, TLS 1.0 и TLS 1.1 отключены в https-обработчиках HAProxy устройства Устройство vRealize Automation.
Просмотрите этот файл
Проверьте наличие таких элементов
В соответствующей строке, как показано
/etc/haproxy/conf.d/20-vcac.cfg
no-sslv3 no-tlsv10 no-tls11 force-tls12
bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11
/etc/haproxy/conf.d/30-vro-config.cfg
no-sslv3 no-tlsv10 no-tls11 force-tls12
bind :::8283 v4v6 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11
- Перезапустите службу.
service haproxy restart
- Откройте файл /opt/vmware/etc/lighttpd/lighttpd.conf и убедитесь, что в нем отображаются правильные записи отключения.
Примечание.
Указания относительно отключения TLS 1.0 или TLS 1.1 на сервере Lighttpd нет. Ограничение использования TLS 1.1 и TLS 1.0 можно частично обойти, запретив OpenSSL использовать наборы шифров TLS 1.0 и TLS 1.1.
ssl.use-sslv2 = "disable" ssl.use-sslv3 = "disable"
- Убедитесь, что протоколы SSLv3, TLS 1.0 и TLS 1.1 отключены для прокси-сервера консоли на Устройство vRealize Automation.
- Отредактируйте файл /etc/vcac/security.properties, добавив или изменив следующую строку:
consoleproxy.ssl.server.protocols = TLSv1.2
- Перезапустите сервер с помощью следующей команды:
service vcac-server restart
- Отредактируйте файл /etc/vcac/security.properties, добавив или изменив следующую строку:
- Убедитесь, что SSLv3, TLS 1.0 и TLS 1.1 отключены для службы vCO.
- Найдите тег
<Connector>
в файле /etc/vco/app-server/server.xml и добавьте следующий атрибут:sslEnabledProtocols = "TLSv1.2"
- Перезапустите службу vCO, выполнив следующую команду.
service vco-server restart
- Найдите тег
- Убедитесь, что SSLv3, TLS 1.0 и TLS 1.1 отключены для службы vRealize Automation.
- Добавьте следующие атрибуты к тегу
<Connector>
в файле /etc/vcac/server.xmlsslEnabledProtocols = "TLSv1.2"
- Перезапустите службу vRealize Automation, выполнив следующую команду:
service vcac-server restart
- Добавьте следующие атрибуты к тегу
- Убедитесь, что SSLv3, TLS 1.0 и TLS 1.1 отключены для RabbitMQ.
Откройте файл /etc/rabbitmq/rabbitmq.config и убедитесь, что в разделах ssl и ssl_options присутствует только
{versions, ['tlsv1.2']}
.[ {ssl, [ {versions, ['tlsv1.2']}, {ciphers, ["AES256-SHA", "AES128-SHA"]} ]}, {rabbit, [ {tcp_listeners, [{"127.0.0.1", 5672}]}, {frame_max, 262144}, {ssl_listeners, [5671]}, {ssl_options, [ {cacertfile, "/etc/rabbitmq/certs/ca/cacert.pem"}, {certfile, "/etc/rabbitmq/certs/server/cert.pem"}, {keyfile, "/etc/rabbitmq/certs/server/key.pem"}, {versions, ['tlsv1.2']}, {ciphers, ["AES256-SHA", "AES128-SHA"]}, {verify, verify_peer}, {fail_if_no_peer_cert, false} ]}, {mnesia_table_loading_timeout,600000}, {cluster_partition_handling, autoheal}, {heartbeat, 600} ]}, {kernel, [{net_ticktime, 120}]} ].
- Перезапустите сервер RabbitMQ.
# service rabbitmq-server restart
- Убедитесь, что SSLv3, TLS 1.0 и TLS 1.1 отключены для службы vIDM.
Откройте файл opt/vmware/horizon/workspace/conf/server.xml для каждого экземпляра соединителя, который содержит
SSLEnabled="true"
, и убедитесь, что в нем есть следующая строка.sslEnabledProtocols="TLSv1.2"