Em algumas instalações do vCenter Orchestrator, podemos nos deparar com um erro de SSL durante acesso às interfaces de gerenciamento do appliance (nas portas 8281 ou 8283) no Chrome ou no Firefox.
Este erro acontece por uma precaução adicional dos browsers em não utilizar métodos para troca de informações de autenticação encriptada considerados inseguros. Neste caso, o Chrome e o Firefox estão bloqueando ciphers criadas utilizando grupos fracos do algoritmo Diffie-Hellman.
O algoritmo Diffie-Hellman implementa uma maneira segura para trocar chaves criptográficas entre cliente e servidor, via um meio inseguro. Essa chave é então utilizada para descriptografar conteúdo transmitido do cliente para o servidor e vice-versa, especialmente informações de autenticação. O mecanismo criado para gerar essas chaves dentro do algoritmo Diffie-Hellman são os Diffie-Hellman Groups, que criam chaves mais fracas, porém que exigem menos processamento para decodificação ou mais fortes, que consomem mais recursos para a tarefa, tudo isso dependendo do grupo selecionado.
Uma grande parte dos servidores e aplicações que utilizam este método utilizam-se dos grupos 1 e 2 do Diffie-Hellman (gerando chaves de 768-bits e 1024-bits, respectivamente). Apesar do tamanho da chave gerada por este grupo, elas estão mais suscetíveis à quebra. Por esta razão, O Google e Mozilla (assim como outras instituições) não aceitam mais chaves consideradas “fracas” durante a navegação do usuário pois abrem caminhos para exploração de vulnerabilidades de segurança como o LogJam (https://weakdh.org).
Para corrigir este problema no Orchestrator,é preciso remover todas as ciphers do Diffie-Hellman dos arquvios de configuração do servidor web do Orchestrator.
Efetue login via SSH no Orchestrator e altere o conteudo dos arquivos etc/vco/app-server/server.xml e /etc/vco/configuration/server.xml
*Nota: É extremamente recomendável que você faça o backup dos arquivos antes de prosseguir.
Vamos começar pelo primeiro arquivo: /etc/vco/app-server/server.xml. A imagem abaixo exibe o conteúdo original do arquivo.
Altere o conteúdo da diretiva ciphers, dentro da cláusula Connector, removendo todas as ciphers que contenham “DHE” no nome.
A diretiva deve ficar desta forma:
ciphers=”TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA” />
Agora, vamos alterar o segundo arquivo: /etc/vco/configuration/server.xml
Repita a mesma alteração no arquivo, que deve ficar desta forma.
Salve os arquivos e reinicie os serviços vco-configurator e vco-server.
Após a reconfiguração dos serviços, você deve conseguir acessar o Orchestrator normalmente.
Este problema não é exclusivo do vCenter Orchestrator e pode afetar outros componentes da plataforma que também utilizem SSL/TLS. O mesmo procedimento se aplica nestes casos, mas os nomes do arquivos variam. Neste caso, consulte a documentação do fabricante para obter orientações mais precisas. De qualquer forma, este item já foi ajustado nas versões mais recentes do vRealize Orchestrator e dos outros componentes.
Agradecimento especial ao Mauro Risonho pelas clarificações sobre o Diffie-Hellman.
Mauro Risonho: Consultor/Pentester em Segurança (https://br.linkedin.com/in/firebitsbr/pt )