启用 FIPS 模式时,往来于 NSX Manager 的所有安全通信将均使用美国联邦信息处理标准 (FIPS) 允许的加密算法和协议。

  • 跨 vCenter NSX 环境中,您应该在每个 NSX Manager 上单独启用 FIPS 模式。
  • 如果其中一个 NSX Manager 未配置为 FIPS 模式,您仍必须确保它使用遵循 FIPS 标准的安全通信方法。

  • 主和辅助 NSX Manager 必须使用相同的 TLS 版本,才能正常执行通用同步。

重要说明: 更改 FIPS 模式会重新引导 NSX Manager 虚拟设备。

前提条件

  • 确认任何合作伙伴解决方案都已通过 FIPS 模式认证。请参见位于 http://www.vmware.com/resources/compatibility/search.php?deviceCategory=security 的《VMware 兼容性指南》。
  • 如果您从较早版本的 NSX 升级,则只有在升级到 NSX 6.3.0 的操作完成之后才能启用 FIPS 模式。请参见NSX 升级指南中的“了解 FIPS 模式和 NSX 升级”。
  • 确认 NSX ManagerNSX 6.3.0 或更高版本。
  • 确认 NSX Controller 群集为 NSX 6.3.0 或更高版本。
  • 确认已为 NSX 6.3.0 或更高版本准备好所有运行 NSX 工作负载的主机群集。
  • 确认所有的 NSX Edge 设备均为 6.3.0 或更高版本,并且已在所需的 NSX Edge 设备上启用了 FIPS 模式。请参见在 NSX Edge 上更改 FIPS 模式

过程

  1. 登录到 NSX Manager 虚拟设备。
  2. 设备管理 (Appliance Management)下面,单击管理设备设置 (Manage Appliance Settings)
  3. 在“设置”面板中,单击常规 (General)
  4. 单击 FIPS 模式和 TLS 设置 (FIPS Mode and TLS settings)旁边的编辑 (Edit)
    警告消息告知您更改 FIPS 模式将自动重新启动 NSX Manager 设备。
  5. 要启用 FIPS 模式,请选中启用 FIPS 模式 (Enable FIPS Mode)复选框。
  6. 分别为“服务器”和“客户端”选中所需 TLS 协议版本对应的复选框。
    注:
    • 如果启用了 FIPS 模式,NSX Manager 将禁用不符合 FIPS 标准的 TLS 协议。

    • NSX 6.4.0 或更高版本中,TLS 1.0 默认处于禁用状态。

      如果升级到 NSX 6.4.0 或更高版本,升级之前的 TLS 设置将保持不变。

  7. 单击确定 (OK)
    NSX Manager 设备将重新引导,并将启用 FIPS。