做為強化程序的一部分,請確保已部署的 vRealize Automation 應用裝置 使用安全的傳輸通道。

開始之前

完成對 Localhost 組態啟用 TLS

程序

  1. 確認 vRealize Automation 應用裝置上的 HAProxy https 處理常式中已停用 SSLv3。

    檢閱此檔案

    確保存在以下內容

    所在的適當行如下所示

    /etc/haproxy/conf.d/20-vcac.cfg

    no-sslv3

    bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tlsv10

    /etc/haproxy/conf.d/30-vro-config.cfg

    no-sslv3

    bind :8283 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tlsv10

  2. 開啟 /opt/vmware/etc/lighttpd/lighttpd.conf 檔案,確認出現正確的停用項目。
    ssl.use-sslv2 = "disable"
    ssl.use-sslv3 = "disable"
  3. 確認已針對 vRealize Automation 應用裝置 上的主控台 Proxy 停用 SSLv3。
    1. 新增或修改以下行,對 /etc/vcac/security.properties 檔案進行編輯:

      consoleproxy.ssl.server.protocols = TLSv1.2, TLSv1.1

    2. 透過執行下列命令重新啟動伺服器:

      service vcac-server restart

  4. 確認已針對 vCO 服務停用 SSLv3。
    1. 找到 /etc/vco/app-server/server.xml 檔案中的 <Connector> 標記,然後新增以下屬性:

      sslEnabledProtocols = "TLSv1.1,TLSv1.2"

    2. 透過執行下列命令重新啟動 vCO 服務。

      service vco-server restart

  5. 確認已針對 vRealize Automation 服務停用 SSLv3。
    1. /etc/vcac/server.xml 檔案的 <Connector> 標記中新增下列屬性

      sslEnabledProtocols = "TLSv1.1,TLSv1.2"

    2. 透過執行下列命令重新啟動 vRealize Automation 服務:

      service vcac-server restart

  6. 確認已針對 RabbitMQ 停用 SSLv3。

    開啟 /etc/rabbitmq/rabbitmq.config 檔案,確認 ssl 和 ssl_options 區段中存在 {versions, ['tlsv1.2', 'tlsv1.1']}

    [
      {ssl, [
          {versions, ['tlsv1.2', 'tlsv1.1']},
          {ciphers, ["AES256-SHA", "AES128-SHA"]}
      ]},
       {rabbit, [
          {tcp_listeners, [{"127.0.0.1", 5672}]},
          {frame_max, 262144},
          {ssl_listeners, [5671]},
          {ssl_options, [
             {cacertfile, "/etc/rabbitmq/certs/ca/cacert.pem"},
             {certfile, "/etc/rabbitmq/certs/server/cert.pem"},
             {keyfile, "/etc/rabbitmq/certs/server/key.pem"},
             {versions, ['tlsv1.2', 'tlsv1.1']},
             {ciphers, ["AES256-SHA", "AES128-SHA"]},
             {verify, verify_peer},
             {fail_if_no_peer_cert, false}
          ]},
          {mnesia_table_loading_timeout,600000},
          {cluster_partition_handling, autoheal},
          {heartbeat, 600}
       ]},
       {kernel, [{net_ticktime,  120}]}
    ].
    
  7. 透過執行下列命令重新啟動 RabbitMQ 伺服器:

    # service rabbitmq-server restart

  8. 確認已針對 vIDM 服務停用 SSLv3。

    針對包含 SSLEnabled="true" 的每個連接器執行個體,開啟 /opt/vmware/horizon/workspace/config/server.xml 檔案並確認存在以下行。

    sslEnabledProtocols="TLSv1.1,TLSv1.2"