可以将 Linux 上的 VMware Cloud Director 配置为使用经 FIPS 140-2 验证的加密模块,并在 FIPS 合规模式下运行。

联邦信息处理标准 (FIPS) 140-2 是一项美国和加拿大政府标准,指定了加密模块的安全要求。NIST 加密模块验证计划 (CMVP) 验证符合 FIPS 140-2 标准的加密模块。

VMware Cloud Director FIPS 支持的目标是简化各种监管环境的合规性和安全性活动。要进一步了解 VMware 产品中对 FIPS 140-2 的支持,请参见 https://www.vmware.com/security/certifications/fips.html

VMware Cloud Director 中,FIPS 验证的加密默认情况下处于停用状态。通过激活 FIPS 模式,可以将 VMware Cloud Director 配置为使用经 FIPS 140-2 验证的加密模块,并在 FIPS 合规模式下运行。

重要说明: 激活 FIPS 模式时,与 VMware Aria Automation Orchestrator 的集成不起作用。

VMware Cloud Director 使用以下经 FIPS 140-2 验证的加密模块:

  • VMware BC-FJA (Bouncy Castle FIPS Java API) 版本 1.0.2.3:证书 #3673(1.0.2.3 正在接受 NIST 审查。版本 1.0.2.1 已获批准。根据证书 #3514,版本 1.0.2.3 的相应 Bouncy Castle FIPS 模块已获批准)
  • VMware OpenSSL FIPS Object Module 版本 2.0.20-vmw:证书 #3857

有关在 VMware Cloud Director 设备上激活 FIPS 模式的信息,请参见在 VMware Cloud Director 设备上激活或停用 FIPS 模式

前提条件

  • 安装并激活 rng-tools 实用程序集。请参见https://wiki.archlinux.org/index.php/Rng-tools
  • 如果已激活衡量指标收集,请确认 Cassandra 证书遵循 X.509 v3 证书标准并包含所有必要的扩展。您必须为 Cassandra 配置 VMware Cloud Director 所用的相同密码套件。有关允许的 SSL 密码的信息,请参见管理允许的 SSL 密码列表
  • 如果要使用 SAML 加密,则必须为现有组织重新生成密钥对之一,然后重新交换 SAML 元数据。使用 VMware Cloud Director 10.2.x 及更低版本创建的组织具有两个完全相同的密钥对,您必须重新生成密钥对之一。使用 VMware Cloud Director 10.3 及更高版本创建的组织具有两个不同的密钥对,无需重新生成密钥对。

过程

  1. 在左侧一级导航面板中,选择管理
  2. 在左侧面板中的设置下,选择 SSL
  3. 单击启用
  4. 确认您的环境满足激活 FIPS 模式的所有必备条件。
    如果在开始 FIPS 模式配置之前您的环境不满足所有必备条件, VMware Cloud Director 可能会变得无法访问。
  5. 要确认开始该流程,请单击启用
    配置完成后, VMware Cloud Director 将显示一条消息以重新启动云单元。
  6. VMware Cloud Director 显示一条消息以重新启动云单元后,重新启动 VMware Cloud Director 服务器组中的每个单元。

下一步做什么

  • 通过单击禁用,停用 FIPS 模式,并在 VMware Cloud Director 指示配置完成后,重新启动单元。
  • 可以使用 fips-mode CMT 命令查看活动 VMware Cloud Director 单元的 FIPS 状态。请参见VMware Cloud Director 安装、配置和升级指南》中的查看所有活动单元的 FIPS 状态
  • 要避免主机标头注入漏洞,请激活主机标头验证。
    1. root 身份直接或通过 SSH 客户端登录到 VMware Cloud Director 控制台。
    2. 使用单元管理工具激活主机标头验证。
      /opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.http.enableHostHeaderCheck -v true