Сравните шифры службы HA Proxy устройства vRealize Automation со списком допустимых шифров и отключите все те из них, которые считаются легко раскрываемыми.

Отключите наборы шифров, которые не обеспечивают проверку подлинности, например наборы шифров NULL, aNULL, eNULL. Также отключите анонимный обмен ключами по протоколу Диффи-Хеллмана (ADH), шифры экспортного уровня (EXP, шифры, содержащие DES), ключи размером менее 128 бит для шифрования полезной нагрузки, использование MD5 в качестве механизма хэширования для полезной нагрузки, наборы шифров IDEA и RC4.

Процедура

  1. Просмотрите шифры в файле /etc/haproxy/conf.d/20-vcac.cfg для директивы привязки и отключите все те, которые считаются легко раскрываемыми.

    bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11

  2. Просмотрите шифры в файле /etc/haproxy/conf.d/30-vro-config.cfg для директивы привязки и отключите все те, которые считаются легко раскрываемыми.

    bind :::8283 v4v6 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11