Durch die Aktivierung des FIPS-Modus werden die FIPS-konformen Verschlüsselungs-Suiten aktiviert. Demzufolge werden für die sichere Kommunikation zum oder vom NSX Edge kryptografische Algorithmen oder Protokolle verwendet, die laut FIPS zulässig sind.
Je nach Ihren Anforderungen können Sie FIPS auf einigen oder allen NSX Edge-Appliances aktivieren. FIPS-fähige NSX Edge-Appliances können mit NSX Edge-Appliances kommunizieren, für die FIPS nicht aktiviert ist.
Wenn ein logischer (verteilter) Router ohne NSX Edge-Appliance bereitgestellt wird, können Sie den FIPS-Modus nicht ändern. Der logische Router erhält automatisch denselben FIPS-Modus wie das NSX Controller-Cluster. Wenn das NSX Controller-Cluster der Version NSX 6.3.0 oder höher entspricht, ist FIPS aktiviert.
Zum Ändern des FIPS-Modus auf einem universellen logischen (verteilten) Router in einer Cross-vCenter NSX Umgebung, in der mehrere NSX Edge Appliances in den primären und sekundären NSX Manager-Instanzen bereitgestellt werden, müssen Sie den FIPS-Modus auf allen NSX Edge Appliances ändern, die dem universellen logischen (verteilten) Router im primären zugeordnet sind NSX Manager.
Wenn Sie den FIPS-Modus auf NSX Edge-Appliances mit aktivierter Hochverfügbarkeit ändern, wird FIPS auf beiden Appliances aktiviert, und die Appliances werden nacheinander neu gestartet.
Wenn Sie den FIPS-Modus für ein eigenständiges Edge ändern möchten, verwenden Sie den Befehl fips enable oder fips disable. Weitere Informationen finden Sie unter Befehlszeilenschnittstellen-Referenz zu NSX.
Voraussetzungen
- Stellen Sie sicher, dass Partnerlösungen für den FIPS-Modus zertifiziert sind. Weitere Informationen finden Sie im VMware-Kompatibilitätshandbuch unter http://www.vmware.com/resources/compatibility/search.php?deviceCategory=security.
- Wenn Sie ein Upgrade von einer früheren NSX-Version durchgeführt haben, aktivieren Sie den FIPS-Modus erst nach Abschluss des Upgrades auf NSX 6.3.0. Siehe „Informationen zum Verständnis des FIPS-Modus und NSX-Upgrades“ im Upgrade-Handbuch für NSX.
- Stellen Sie sicher, dass NSX Manager der Version NSX 6.3.0 oder höher entspricht.
- Stellen Sie sicher, dass das NSX Controller-Cluster der Version NSX 6.3.0 oder höher entspricht.
- Stellen Sie sicher, dass alle Host-Cluster, auf denen NSX-Arbeitslasten ausgeführt werden, mit NSX 6.3.0 oder höher vorbereitet wurden.
- Stellen Sie sicher, dass alle NSX Edge-Appliances, auf denen Sie FIPS aktivieren möchten, Version 6.3.0 oder höher sind.
- Stellen Sie sicher, dass die Messaging-Infrastruktur den Status GRÜN hat. Wenden Sie die API-Methode GET /api/2.0/nwfabric/status?resource={resourceId} an, wobei „resourceId“ die Host- oder Cluster-Objekt-ID des mit vCenter verwalteten Objekts ist. Suchen Sie im Antworttext nach dem Status, der der featureId von com.vmware.vshield.vsm.messagingInfra entspricht:
<nwFabricFeatureStatus> <featureId>com.vmware.vshield.vsm.messagingInfra</featureId> <updateAvailable>false</updateAvailable> <status>GREEN</status> <installed>true</installed> <enabled>true</enabled> <allowConfiguration>false</allowConfiguration> </nwFabricFeatureStatus>
Prozedur
Nächste Maßnahme
Optional: Ändern des FIPS-Modus und der TLS-Einstellungen für NSX Manager.