做為強化程序的一部分,請確保已部署的 vRealize Automation 應用裝置 使用安全的傳輸通道。

先決條件

完成對 Localhost 組態啟用 TLS

程序

  1. 確認 SSLv3、TLS 1.0 和 TLS 1.1 已在 vRealize Automation 應用裝置上的 HAProxy https 處理常式中停用。

    檢閱此檔案

    確保存在以下內容

    所在的適當行如下所示

    /etc/haproxy/conf.d/20-vcac.cfg

    no-sslv3 no-tlsv10 no-tls11 force-tls12

    bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11

    /etc/haproxy/conf.d/30-vro-config.cfg

    no-sslv3 no-tlsv10 no-tls11 force-tls12

    bind :::8283 v4v6 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11

  2. 重新啟動服務。
    service haproxy restart
  3. 開啟 /opt/vmware/etc/lighttpd/lighttpd.conf 檔案,確認出現正確的停用項目。
    備註︰

    沒有可在 Lighttpd 中停用 TLS 1.0 或 TLS 1.1 的指令。透過強制 OpenSSL 不使用 TLS 1.0 和 TLS 1.1 的加密套件,可部分減少 TLS 1.0 和 TLS 1.1 的使用限制。

    ssl.use-sslv2 = "disable"
    ssl.use-sslv3 = "disable"
  4. 確認已針對 vRealize Automation 應用裝置上的主控台 Proxy 停用 SSLv3、TLS 1.0 和 TLS 1.1。
    1. 新增或修改以下行,對 /etc/vcac/security.properties 檔案進行編輯:

      consoleproxy.ssl.server.protocols = TLSv1.2

    2. 透過執行下列命令重新啟動伺服器:

      service vcac-server restart

  5. 確認已針對 vCO 服務停用 SSLv3、TLS 1.0 和 TLS 1.1。
    1. 找到 /etc/vco/app-server/server.xml 檔案中的 <Connector> 標記,然後新增以下屬性:

      sslEnabledProtocols = "TLSv1.2"

    2. 透過執行下列命令重新啟動 vCO 服務。

      service vco-server restart

  6. 確認已針對 vRealize Automation 服務停用 SSLv3、TLS 1.0 和 TLS 1.1。
    1. /etc/vcac/server.xml 檔案的 <Connector> 標記中新增下列屬性

      sslEnabledProtocols = "TLSv1.2"

    2. 透過執行下列命令重新啟動 vRealize Automation 服務:

      service vcac-server restart

  7. 確認已針對 RabbitMQ 停用 SSLv3、TLS 1.0 和 TLS 1.1。

    開啟 /etc/rabbitmq/rabbitmq.config 檔案,確認 ssl 和 ssl_options 區段中存在 {versions, ['tlsv1.2', 'tlsv1.1']}

    [
      {ssl, [
          {versions, ['tlsv1.2', 'tlsv1.1']},
          {ciphers, ["AES256-SHA", "AES128-SHA"]}
      ]},
       {rabbit, [
          {tcp_listeners, [{"127.0.0.1", 5672}]},
          {frame_max, 262144},
          {ssl_listeners, [5671]},
          {ssl_options, [
             {cacertfile, "/etc/rabbitmq/certs/ca/cacert.pem"},
             {certfile, "/etc/rabbitmq/certs/server/cert.pem"},
             {keyfile, "/etc/rabbitmq/certs/server/key.pem"},
             {versions, ['tlsv1.2', 'tlsv1.1']},
             {ciphers, ["AES256-SHA", "AES128-SHA"]},
             {verify, verify_peer},
             {fail_if_no_peer_cert, false}
          ]},
          {mnesia_table_loading_timeout,600000},
          {cluster_partition_handling, autoheal},
          {heartbeat, 600}
       ]},
       {kernel, [{net_ticktime,  120}]}
    ].
    
  8. 重新啟動 RabbitMQ 伺服器。

    # service rabbitmq-server restart

  9. 確認已針對 vIDM 服務停用 SSLv3、TLS 1.0 和 TLS 1.1。

    針對包含 SSLEnabled="true" 的每個連接器執行個體,開啟 opt/vmware/horizon/workspace/conf/server.xml 檔案並確認存在以下行。

    sslEnabledProtocols="TLSv1.2"