从版本 10.2.2 开始,可以将 VMware Cloud Director 设备配置为使用经 FIPS 140-2 验证的加密模块,并在 FIPS 合规模式下运行。
联邦信息处理标准 (FIPS) 140-2 是一项美国和加拿大政府标准,指定了加密模块的安全要求。NIST 加密模块验证计划 (CMVP) 验证符合 FIPS 140-2 标准的加密模块。
VMware Cloud Director FIPS 支持的目标是简化各种监管环境的合规性和安全性活动。要进一步了解 VMware 产品中对 FIPS 140-2 的支持,请参见 https://www.vmware.com/security/certifications/fips.html。
VMware Cloud Director FIPS 验证的加密默认情况下处于停用状态。通过激活 FIPS 模式,可以将 VMware Cloud Director 配置为使用经 FIPS 140-2 验证的加密模块,并在 FIPS 合规模式下运行。
重要说明: 激活 FIPS 模式时,与
vRealize Orchestrator 的集成不起作用。
VMware Cloud Director 使用以下经 FIPS 140-2 验证的加密模块:
- VMware BC-FJA (Bouncy Castle FIPS Java API) 版本 1.0.2.1:Certificate #3673
- VMware OpenSSL FIPS Object Module 版本 2.0.20-vmw:证书 #3857
使用
VMware Cloud Director 设备时,要将设备配置为在 FIPS 合规模式下运行,必须同时管理设备 FIPS 模式和单元 FIPS 模式。
- 设备 FIPS 模式是底层设备操作系统、嵌入式数据库和各种系统库的模式。
- 单元 FIPS 模式是每个设备上运行的 VMware Cloud Director 单元的模式。
要在 Linux VMware Cloud Director 上激活和停用 FIPS 模式,请参见在服务器组中的单元上启用 FIPS 模式。
前提条件
- 如果已激活衡量指标收集,请确认 Cassandra 证书遵循 X.509 v3 证书标准并包含所有必要的扩展。您必须为 Cassandra 配置 VMware Cloud Director 所用的相同密码套件。有关允许的 SSL 密码的信息,请参见管理允许的 SSL 密码列表。
- 如果要使用 SAML 加密,则必须为现有组织重新生成密钥对之一,然后重新交换 SAML 元数据。使用 VMware Cloud Director 10.2.x 及更低版本创建的组织具有两个完全相同的密钥对,您必须重新生成密钥对之一。使用 VMware Cloud Director 10.3 及更高版本创建的组织具有两个不同的密钥对,无需重新生成密钥对。