In diesem Thema wird die erforderliche Aufgabe beschrieben, die Sie ausführen müssen, um den FIPS-Modus (Federal Information Processing Standards) auf der Site Recovery Manager-Appliance zu aktivieren.

Hinweis: Das Zertifikatdateiformat PKCS#12 wird in der Zertifikatkonfiguration im FIPS-Modus nicht unterstützt. Beim Dateiformat PKCS#12 werden Nicht-FIPS-konforme Algorithmen als Standardspezifikation verwendet.

Voraussetzungen

Verwenden Sie bei der Bereitstellung Ihrer Umgebung unbedingt vertrauenswürdige Zertifikate.

Prozedur

  1. Bearbeiten Sie die Konfigurationsdateien für die Site Recovery Manager-Dienste.
    1. Navigieren Sie zu /opt/vmware/dr/conf/drconfig.xml, öffnen Sie die Datei und ändern Sie die folgende Einstellung.
      <Config>
          <vmacore>
              <ssl>
                  <fips>true</fips>
              </ssl>
          </vmacore>
      </Config>
    2. Navigieren Sie zu /opt/vmware/srm/conf/vmware-dr.template.xml, öffnen Sie die Datei und ändern Sie die folgende Einstellung.
      <Config>
          <vmacore>
              <ssl>
                  <fips>true</fips>
              </ssl>
          </vmacore>
      </Config>
    3. (Optional) Wenn die Appliance konfiguriert ist, bearbeiten Sie die Datei /opt/vmware/srm/conf/vmware-dr.xml.
      <Config>
          <vmacore>
              <ssl>
                  <fips>true</fips>
              </ssl>
          </vmacore>
      </Config>
  2. Starten Sie die Site Recovery Manager-Dienste im strikten Modus.
    1. Bearbeiten Sie /usr/lib/systemd/system/dr-configurator.service. Heben Sie die Auskommentierung der Zeilen unter # Uncomment to enable FIPS auf.
      Das Dateifragment muss wie folgt aussehen.
      # Uncomment to enable FIPS
      Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules
      Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
    2. Bearbeiten Sie /usr/lib/systemd/system/srm-server.service. Heben Sie die Auskommentierung der Zeilen unter # Uncomment to enable FIPS auf.
      Das Dateifragment muss wie folgt aussehen.
      # Uncomment to enable FIPS
      Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules
      Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
    3. Starten Sie den dr-configurator und den srm-server neu. Führen Sie die folgenden Befehle aus.
      systemctl daemon-reload
      systemctl restart dr-configurator
      systemctl restart srm-server
  3. Melden Sie sich bei der Appliance als Benutzer root an und bearbeiten Sie die Kernel-Cmdline.
    1. Öffnen Sie /boot/grub/grub.cfg.
    2. Suchen Sie nach dem Eintrag menuentry.
    3. Fügen Sie Folgendes am Ende der Zeilen in jedem menuentry hinzu, der mit linux beginnt.
      fips=1
    4. Speichern Sie die Datei.
  4. Starten Sie die Config-Benutzeroberfläche im strikten Modus.
    1. Bearbeiten Sie /usr/lib/systemd/system/drconfigui.service. Kommentieren Sie die vorhandene Zeile Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' aus und heben Sie die Auskommentierung der Zeilen unter # Uncomment to enable FIPS auf.
      Das Dateifragment muss wie folgt aussehen.
      Environment=JRE_HOME=/usr/java/jre-vmware
      # Comment when enable FIPS
      # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
      # Uncomment to enable FIPS
      Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
      Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
      
    2. Heben Sie die Auskommentierung des Tags <Manager> in der Datei /opt/vmware/drconfigui/conf/context.xml auf.
      Das Dateifragment mit dem Tag muss wie folgt aussehen.
      <!-- Uncomment to enable FIPS mode.          -->
      <Manager pathname="" secureRandomAlgorithm=""/>
    3. (Optional) Starten Sie den drconfigui-Dienst neu, wenn FIPS bereits für die Appliance aktiviert ist.
      systemctl daemon-reload; systemctl restart drconfigui
  5. Starten Sie die Benutzeroberfläche im strikten Modus.
    1. Bearbeiten Sie /usr/lib/systemd/system/dr-client.service. Kommentieren Sie die vorhandene Zeile Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' aus und heben Sie die Auskommentierung der Zeilen unter # Uncomment to enable FIPS auf.
      Das Dateifragment muss wie folgt aussehen.
      Environment=JRE_HOME=/usr/java/jre-vmware
      # Comment when enable FIPS
      # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
      # Uncomment to enable FIPS
      Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
      Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
      
    2. Heben Sie die Auskommentierung des Tags <Manager> in der Datei /opt/vmware/dr-client/conf/context.xml auf.
      Das Dateifragment mit dem Tag muss wie folgt aussehen.
      <!-- Uncomment to enable FIPS mode.              -->
      <Manager pathname="" secureRandomAlgorithm=""/>
    3. Bearbeiten Sie die Datei /opt/vmware/dr-client/lib/h5dr.properties und ändern Sie die Parameter so, dass sie auf einen Keystore im BCFKS-Format und einen Truststore mit Root-CA-Zertifikaten verweisen.
      Die Eigenschaft muss wie folgt aussehen.
      drTrustStorePass=<same as keyStorePass>
      drTrustStoreName=h5dr.truststore.bks
      keyStoreName=h5dr.keystore.bks
      Wenn Sie einen anderen Truststore als den Standard-Truststore verwenden möchten, müssen Sie einen Link zum Truststore in /opt/vmware/dr-client/lib/ oder /opt/vmware/dr-client/webapps/dr/WEB-INF/classes/ hinzufügen. Das Keystore-Format muss BCFKS sein. Verwenden Sie den folgenden Befehl für den Import aus dem JKS-Format.
      $JAVA_HOME/bin/keytool -importkeystore -srckeystore <path-to-jks-keystore> -srcstoretype JKS -srcstorepass <keystorepass> -destkeystore <path-to-target-bks-keystore> -deststoretype BCFKS -deststorepass <keystorepass> -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/dr-client/lib/ext/bc-fips-1.0.2.3.jar
      Hinweis: Die von Ihnen verwendeten Keystore- und Truststore-Dateien müssen über die Berechtigung Andere: Lesen verfügen. Nach der Neukonfiguration der Appliance müssen Sie die Datei /opt/vmware/dr-client/lib/h5dr.properties gemäß den obigen Regeln erneut bearbeiten.
    4. (Optional) Starten Sie den dr-client-Dienst neu, wenn FIPS bereits für die Appliance aktiviert ist.
      systemctl daemon-reload; systemctl restart dr-client
  6. Starten Sie das UI-Plug-In (dr-client-plugin) im strikten Modus.
    1. Bearbeiten Sie /usr/lib/systemd/system/dr-client-plugin.service. Kommentieren Sie die vorhandene Zeile Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' aus und heben Sie die Auskommentierung der Zeilen unter # Uncomment to enable FIPS auf.
      Das Dateifragment muss wie folgt aussehen.
      Environment=JRE_HOME=/usr/java/jre-vmware
      # Comment when enable FIPS
      # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
      # Uncomment to enable FIPS
      Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
      Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
    2. Heben Sie die Auskommentierung des Tags <Manager> in der Datei /opt/vmware/dr-client-plugin/conf/context.xml auf.
      Das Dateifragment mit dem Tag muss wie folgt aussehen.
      <!-- Uncomment to enable FIPS mode.          -->
      <Manager pathname="" secureRandomAlgorithm=""/>
    3. (Optional) Starten Sie den dr-client-plugin-Dienst neu, wenn FIPS bereits für die Appliance aktiviert ist.
      systemctl daemon-reload; systemctl restart dr-client-plugin
  7. Starten Sie den REST API-Dienst (dr-rest) im strikten Modus.
    1. Bearbeiten Sie /usr/lib/systemd/system/dr-rest.service. Kommentieren Sie die vorhandene Zeile Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' aus und heben Sie die Auskommentierung der Zeilen unter # Uncomment to enable FIPS auf.
      Das Dateifragment muss wie folgt aussehen.
      Environment=JRE_HOME=/usr/java/jre-vmware
      # Comment when enable FIPS
      # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
      # Uncomment to enable FIPS
      Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
      Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
      
    2. Heben Sie die Auskommentierung des Tags <Manager> in der Datei /opt/vmware/dr-rest/conf/context.xml auf.
      Das Dateifragment mit dem Tag muss wie folgt aussehen.
      <!-- Uncomment to enable FIPS mode.          -->
      <Manager pathname="" secureRandomAlgorithm=""/>
    3. (Optional) Starten Sie den dr-rest-Dienst neu, wenn FIPS bereits für die Appliance aktiviert ist.
      systemctl daemon-reload; systemctl restart dr-rest
  8. Starten Sie die Appliance neu.
    Stellen Sie sicher, dass der Befehl systemctl daemon-reload mindestens einmal ausgeführt wird, nachdem Sie die Änderungen vorgenommen haben und bevor Sie die Appliance neu starten.
    Hinweis: SSHD liest, dass der Kernel den FIPS-Modus aktiviert hat, und aktiviert ihn auch. In der SSHD-Konfiguration muss keine Bearbeitung vorgenommen werden.

Nächste Maßnahme

Überprüfen Sie, ob der FIPS-Modus aktiviert ist.