In diesem Thema wird die erforderliche Aufgabe beschrieben, die Sie ausführen müssen, um den FIPS-Modus (Federal Information Processing Standards) auf der Site Recovery Manager 9.0.1-Appliance zu aktivieren.
Hinweis: Das Zertifikatdateiformat
PKCS#12 wird in der Zertifikatkonfiguration im FIPS-Modus nicht unterstützt. Beim Dateiformat
PKCS#12 werden Nicht-FIPS-konforme Algorithmen als Standardspezifikation verwendet.
Voraussetzungen
Verwenden Sie bei der Bereitstellung Ihrer Umgebung unbedingt vertrauenswürdige Zertifikate.
Prozedur
- Bearbeiten Sie die Konfigurationsdateien für die Site Recovery Manager-Dienste.
- Navigieren Sie zu /opt/vmware/dr/conf/drconfig.xml, öffnen Sie die Datei und ändern Sie die folgende Einstellung.
<Config> <vmacore> <ssl> <fips>true</fips> </ssl> </vmacore> </Config> - Navigieren Sie zu /opt/vmware/srm/conf/vmware-dr.template.xml, öffnen Sie die Datei und ändern Sie die folgende Einstellung.
<Config> <vmacore> <ssl> <fips>true</fips> </ssl> </vmacore> </Config> - (Optional) Wenn die Appliance konfiguriert ist, bearbeiten Sie die Datei /opt/vmware/srm/conf/vmware-dr.xml.
<Config> <vmacore> <ssl> <fips>true</fips> </ssl> </vmacore> </Config>
- Navigieren Sie zu /opt/vmware/dr/conf/drconfig.xml, öffnen Sie die Datei und ändern Sie die folgende Einstellung.
- Starten Sie die Site Recovery Manager-Dienste im strikten Modus.
- Bearbeiten Sie /usr/lib/systemd/system/dr-configurator.service. Heben Sie die Auskommentierung der Zeilen unter # Uncomment to enable FIPS auf.
Das Dateifragment muss wie folgt aussehen.
# Uncomment to enable FIPS Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
- Bearbeiten Sie /usr/lib/systemd/system/srm-server.service. Heben Sie die Auskommentierung der Zeilen unter # Uncomment to enable FIPS auf.
Das Dateifragment muss wie folgt aussehen.
# Uncomment to enable FIPS Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
- Starten Sie den dr-configurator und den srm-server neu. Führen Sie die folgenden Befehle aus.
systemctl daemon-reload systemctl restart dr-configurator systemctl restart srm-server
- Bearbeiten Sie /usr/lib/systemd/system/dr-configurator.service. Heben Sie die Auskommentierung der Zeilen unter # Uncomment to enable FIPS auf.
- Melden Sie sich bei der Appliance als Benutzer root an und bearbeiten Sie die Kernel-Cmdline.
- Öffnen Sie /boot/grub/grub.cfg.
- Suchen Sie nach dem Eintrag menuentry.
- Fügen Sie Folgendes am Ende der Zeilen in jedem menuentry hinzu, der mit linux beginnt.
fips=1 - Speichern Sie die Datei.
- Starten Sie die Config-Benutzeroberfläche im strikten Modus.
- Bearbeiten Sie /opt/vmware/drconfigui/conf/service.env. Heben Sie die Auskommentierung des Umgebungsvariablensatzes FIPS_ENABLED=True auf.
Das Dateifragment muss wie folgt aussehen.
# Environment variable to mark is FIPS mode enabled # Uncomment to enable FIPS FIPS_ENABLED=True
- (Optional) Starten Sie den drconfigui-Dienst neu, wenn FIPS bereits für die Appliance aktiviert ist.
systemctl restart drconfigui
- Bearbeiten Sie /opt/vmware/drconfigui/conf/service.env. Heben Sie die Auskommentierung des Umgebungsvariablensatzes FIPS_ENABLED=True auf.
- Starten Sie die Benutzeroberfläche im strikten Modus.
- Bearbeiten Sie /opt/vmware/dr-client/conf/service.env. Heben Sie die Auskommentierung des Umgebungsvariablensatzes FIPS_ENABLED=True auf.
Das Dateifragment muss wie folgt aussehen.
# Environment variable to mark is FIPS mode enabled # Uncomment to enable FIPS FIPS_ENABLED=True
- Bearbeiten Sie die /opt/vmware/dr-client/lib/h5dr.properties und ändern Sie die Parameter so, dass sie auf einen Keystore im BCFKS-Format und einen Truststore mit Root-CA-Zertifikaten verweisen.
Die Eigenschaft muss wie folgt aussehen.
drTrustStorePass=<same as keyStorePass> drTrustStoreName=h5dr.truststore.bks keyStoreName=h5dr.keystore.bks
- Bearbeiten Sie die Datei /opt/vmware/dr-client/lib/h5dr.properties und ändern Sie die Parameter so, dass sie auf einen Keystore im BCFKS-Format und einen Truststore mit Root-CA-Zertifikaten verweisen.
Die Eigenschaft muss wie folgt aussehen.
drTrustStorePass=<same as keyStorePass> drTrustStoreName=h5dr.truststore.bks keyStoreName=h5dr.keystore.bks
Wenn Sie einen anderen Truststore als den Standard-Truststore verwenden möchten, müssen Sie einen Link zum Truststore in /opt/vmware/dr-client/lib/ oder /opt/vmware/dr-client/webapps/dr/WEB-INF/classes/ hinzufügen. Das Keystore-Format muss BCFKS sein. Verwenden Sie den folgenden Befehl für den Import aus dem JKS-Format.$JAVA_HOME/bin/keytool -importkeystore -srckeystore <path-to-jks-keystore> -srcstoretype JKS -srcstorepass <keystorepass> -destkeystore <path-to-target-bks-keystore> -deststoretype BCFKS -deststorepass <keystorepass> -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/dr-client/lib/ext/bc-fips-1.0.2.4.jar
Hinweis: Die von Ihnen verwendeten Keystore- und Truststore-Dateien müssen über die Berechtigung Andere: Lesen verfügen. Nach der Neukonfiguration der Appliance müssen Sie die Datei /opt/vmware/dr-client/lib/h5dr.properties gemäß den obigen Regeln erneut bearbeiten. - (Optional) Starten Sie den dr-client-Dienst neu, wenn FIPS bereits für die Appliance aktiviert ist.
systemctl restart dr-client
- Bearbeiten Sie /opt/vmware/dr-client/conf/service.env. Heben Sie die Auskommentierung des Umgebungsvariablensatzes FIPS_ENABLED=True auf.
- Starten Sie das UI-Plug-In (dr-client-plugin) im strikten Modus.
- Bearbeiten Sie /opt/vmware/dr-client-plugin/conf/service.env. Heben Sie die Auskommentierung des Umgebungsvariablensatzes FIPS_ENABLED=True auf.
Das Dateifragment muss wie folgt aussehen.
# Environment variable to mark is FIPS mode enabled # Uncomment to enable FIPS FIPS_ENABLED=True
- (Optional) Starten Sie den dr-client-plugin-Dienst neu, wenn FIPS bereits für die Appliance aktiviert ist.
systemctl restart dr-client-plugin
- Bearbeiten Sie /opt/vmware/dr-client-plugin/conf/service.env. Heben Sie die Auskommentierung des Umgebungsvariablensatzes FIPS_ENABLED=True auf.
- Starten Sie den REST API-Dienst (dr-rest) im strikten Modus.
- Bearbeiten Sie /opt/vmware/dr-rest/conf/service.env. Heben Sie die Auskommentierung des Umgebungsvariablensatzes FIPS_ENABLED=True auf.
Das Dateifragment muss wie folgt aussehen.
# Environment variable to mark is FIPS mode enabled # Uncomment to enable FIPS FIPS_ENABLED=True
- Bearbeiten Sie die /opt/vmware/dr-rest/lib/dr-rest-api.properties und fügen Sie Parameter so hinzu, dass sie auf einen Keystore im BCFKS-Format und einen Truststore mit Root-CA-Zertifikaten verweisen.
Die Eigenschaft muss wie folgt aussehen.
drTrustStorePass=<same as the keyStorePass of dr-client> drTrustStoreName=dr-rest.truststore.bks
- (Optional) Starten Sie den dr-rest-Dienst neu, wenn FIPS bereits für die Appliance aktiviert ist.
systemctl restart dr-rest
- Bearbeiten Sie /opt/vmware/dr-rest/conf/service.env. Heben Sie die Auskommentierung des Umgebungsvariablensatzes FIPS_ENABLED=True auf.
- Starten Sie den VMware Live Recovery-Agent-Dienst (dr-dpx-agent) im strikten Modus.
- Bearbeiten Sie die Datei /opt/vmware/dr-dpx-agent/conf/service.env.
# Environment variable to mark is FIPS mode enabled # Uncomment to enable FIPS FIPS_ENABLED=True
- Starten Sie den
dr-dpx-agent-Dienste auf der Appliance neu.systemctl restart dr-dpx-agent
- Bearbeiten Sie die Datei /opt/vmware/dr-dpx-agent/conf/service.env.
- Starten Sie die Appliance neu.
Hinweis: SSHD liest, dass der Kernel den FIPS-Modus aktiviert hat, und aktiviert ihn auch. In der SSHD-Konfiguration muss keine Bearbeitung vorgenommen werden.
Nächste Maßnahme
Überprüfen Sie, ob der FIPS-Modus aktiviert ist.
