依預設,部分 localhost 通訊並不會使用 TLS。您可以對所有 localhost 連線啟用 TLS 以增強安全性。

執行這項作業的原因和時機

程序

  1. 使用 SSH 連線至 vRealize Automation 應用裝置
  2. 透過執行下列命令來為 vcac 金鑰儲存區設定權限。
    chown vcac.pivotal /etc/vcac/vcac.keystore
    chmod 640 /etc/vcac/vcac.keystore
    
  3. 更新 HAProxy 組態。
    1. 找到含有下列字串的行

      「server local 127.0.0.1…」,然後在這些行結尾新增下列文字「ssl verify none」

      此區段還包含類似以下的其他行:

      backend-horizon

      backend-vro

      backend-vra

      backend-artifactory

      backend-vra-health

    2. 將 backend-horizon 的連接埠從 8080 變更為 8443。
  4. 取得 keystorePass 的密碼。
    1. /etc/vcac/security.properties 檔案中找到內容 certificate.store.password

      例如,certificate.store.password=s2enc~iom0GXATG+RB8ff7Wdm4Bg==

    2. 使用下列命令將值解密:

      vcac-config prop-util -d --p VALUE

      例如,vcac-config prop-util -d --p s2enc~iom0GXATG+RB8ff7Wdm4Bg==

  5. 設定 vRealize Automation 服務
    1. 開啟 /etc/vcac/server.xml 檔案。
    2. 將下列屬性新增至 [連接器] 標記,其中的 certificate.store.password 要以 etc/vcac/security.properties 中的憑證存放區密碼值取代。
      scheme=”https” secure=”true” SSLEnabled=”true” sslProtocol=”TLS” keystoreFile=”/etc/vcac/vcac.keystore” keyAlias=”apache” keystorePass=”certificate.store.password”
  6. 設定 vRealize Orchestrator 服務。
    1. 開啟 /etc/vco/app/server.xml 檔案
    2. 將下列屬性新增至 [連接器] 標記,其中的 certificate.store.password 要以 etc/vcac/security.properties 中的憑證存放區密碼值取代。
      scheme=”https” secure=”true” SSLEnabled=”true” sslProtocol=”TLS” keystoreFile=”/etc/vcac/vcac.keystore” keyAlias=”apache” keystorePass=”certificate.store.password”
  7. 重新啟動 vRealize OrchestratorvRealize Automation 與 haproxy 服務。
    service vcac-server restart
    service vco-server restart 
    service haproxy restart
  8. 設定虛擬應用裝置管理介面。
    1. 開啟 /opt/vmware/share/htdocs/service/café-services/services.py 檔案。
    2. conn = httplib.HTTP() 行變更為 conn = httplib.HTTPS() 以增強安全性。