Sie können VMware Cloud Director unter Linux so konfigurieren, dass FIPS 140-2-validierte kryptografische Module verwendet und im FIPS-konformen Modus ausgeführt werden.

FIPS 140-2 (Federal Information Processing Standard ) ist ein US- und kanadischer Behördenstandard, der Sicherheitsanforderungen für kryptografische Module spezifiziert. Das NIST Cryptographic Module Validation Program (CMVP) überprüft die kryptografischen Module, die mit den FIPS 140-2-Standards konform sind.

Mit VMware Cloud Director FIPS-Unterstützung sollen Konformitäts- und Sicherheitsaktivitäten in verschiedenen regulierten Umgebungen erleichtert werden. Weitere Informationen über die Unterstützung für FIPS 140-2 in VMware-Produkten finden Sie unter https://www.vmware.com/security/certifications/fips.html.

In VMware Cloud Director ist FIPS-validierte Kryptografie standardmäßig deaktiviert. Durch Aktivierung des FIPS-Modus konfigurieren Sie die VMware Cloud Director-Appliance so, dass FIPS 140-2-validierte kryptografische Module verwendet und im FIPS-konformen Modus ausgeführt werden.

Wichtig: Wenn Sie den FIPS-Modus aktivieren, funktioniert die Integration in VMware Aria Automation Orchestrator nicht.

VMware Cloud Director verwendet die folgenden FIPS 140-2-validierten kryptografischen Module:

  • VMware BC-FJA (Bouncy Castle FIPS Java API), Version 1.0.2.3: Zertifikat Nr. 3673 (unter NIST-Überprüfung für 1.0.2.3. Genehmigt für Version 1.0.2.1. Entsprechendes Bouncy Castle FIPS-Modul, das für Version 1.0.2.3 pro Zertifikat Nr. 3514) genehmigt wurde
  • VMware OpenSSL FIPS Object Module Version 2.0.20-vmw: Zertifikat #3857

Informationen zum Aktivieren des FIPS-Modus auf der VMware Cloud Director-Appliance finden Sie unter Aktivieren und Deaktivieren des FIPS-Modus auf der VMware Cloud Director-Appliance.

Voraussetzungen

  • Installieren und aktivieren Sie den rng-tools-Dienstprogrammsatz. Weitere Informationen finden Sie im https://wiki.archlinux.org/index.php/Rng-tools.
  • Wenn die Metrikerfassung aktiviert ist, stellen Sie sicher, dass die Cassandra-Zertifikate dem X.509 v3-Zertifikatstandard entsprechen und alle erforderlichen Erweiterungen enthalten. Sie müssen Cassandra mit denselben Verschlüsselungssammlungen konfigurieren, die von VMware Cloud Director verwendet werden. Informationen zu den zulässigen SSL-Verschlüsselungen finden Sie unter Verwalten der Liste der zulässigen SSL-Verschlüsselungen.
  • Wenn Sie die SAML-Verschlüsselung verwenden möchten, müssen Sie eines der Schlüsselpaare für die vorhandenen Organisationen neu generieren und die SAML-Metadaten erneut austauschen. Organisationen, die mit VMware Cloud Director 10.2.x und früher erstellt wurden, verfügen über zwei identische Schlüsselpaare, und Sie müssen eines der Schlüsselpaare neu generieren. Organisationen, die mit VMware Cloud Director 10.3 und höher erstellt wurden, verfügen über zwei unterschiedliche Schlüsselpaare, und Sie müssen keines davon neu generieren.

Prozedur

  1. Wählen Sie im primären linken Navigationsbereich Verwaltung aus.
  2. Klicken Sie im linken Bereich unter Einstellungen auf SSL.
  3. Klicken Sie auf Aktivieren.
  4. Bestätigen Sie, dass Ihre Umgebung alle Voraussetzungen für die Aktivierung des FIPS-Modus erfüllt.
    Wenn Ihre Umgebung vor der Konfiguration des FIPS-Modus nicht alle Voraussetzungen erfüllt, kann auf VMware Cloud Director unter Umständen nicht zugegriffen werden.
  5. Um zu bestätigen, dass Sie den Vorgang starten möchten, klicken Sie auf Aktivieren.
    Wenn die Konfiguration abgeschlossen ist, zeigt VMware Cloud Director eine Meldung zum Neustarten der Cloud-Zellen an.
  6. Nachdem VMware Cloud Director eine Meldung zum Neustarten Ihrer Cloud-Zellen angezeigt hat, starten Sie alle Zellen in der VMware Cloud Director-Servergruppe neu.

Nächste Maßnahme

  • Deaktivieren Sie den FIPS-Modus, indem Sie auf Deaktivieren klicken. Nachdem VMware Cloud Director angezeigt hat, dass die Konfiguration bereit ist, starten Sie die Zellen neu.
  • Sie können den FIPS-Status der aktiven VMware Cloud Director-Zellen mithilfe des CMT-Befehls fips-mode anzeigen. Weitere Informationen finden Sie unter Anzeigen des FIPS-Status aller aktiven Zellen im Installations-, Konfigurations- und Upgrade-Handbuch zu VMware Cloud Director.
  • Um Schwachstellen beim Einfügen von Host-Kopfzeilen zu vermeiden, aktivieren Sie die Host-Kopfzeilenüberprüfung.
    1. Melden Sie sich direkt oder mithilfe eines SSH-Clients bei der VMware Cloud Director-Konsole als root an.
    2. Aktivieren Sie die Host-Kopfzeilenüberprüfung mithilfe des Zellenverwaltungstools.
      /opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.http.enableHostHeaderCheck -v true