HA XenServer novo certificado.

tyrk
(usa Fedora)

Enviado em 06/08/2019 - 19:19h

Boa noite,

Atualmente possuo um HA de dois XenServes e preciso realizar um procedimento de instalação de um certificado para superar algumas vulnerabilidades.
Gostaria de saber se esse procedimento irá ocasionar algum impacto no HA.


1º Convert .cer to .pem

openssl x509 -inform der -in certificate.cer -out certificate.pem 

2º
Install the ca-certificates package: yum install ca-certificates

3º
Enable the dynamic CA configuration feature: update-ca-trust force-enable

4º
Add is as a new file to /etc/pki/ca-trust/source/anchors/: cp foo.crt /etc/pki/ca-trust/source/anchors

5º
Use command: update-ca-trust extract

6º
Go to /etc/rc.d/init.d/ , using VI editor edit the file xapissl edit the file so it will look as follow:

Change to:

ciphers = !SSLv3:SSLv2:RSA+AES128-SHA256

options = NO_SSLv3 

Issue an “xe-toolstack-restart”.

7º
Go to /etc/ssh/ and using VI once again add the following lines to the end of the sshd_config

Ciphers aes128-ctr,aes192-ctr,aes256-ctr

 MACs hmac-sha1,umac-64@openssh.com,hmac-ripemd160 

8º
Restart the service using this command line

service sshd restart 

Gostaria de saber também também se tem alguma diferença na duas configurações abaixo do arquivo /etc/rc.d/init.d/xapissl

GOOD_CIPHERS='ESA+AES128-SHA256'

ciphers = !SSLv3:!SSLv2:${GOOD_CIPHERS} 

or

ciphers = !SSLv3:SSLv2:RSA+AES128-SHA256

options = NO_SSLv3 

Obrigado