In diesem Thema wird die erforderliche Aufgabe beschrieben, die Sie ausführen müssen, um den FIPS-Modus (Federal Information Processing Standards) auf der vSphere Replication-Appliance zu aktivieren.

Hinweis: Das Zertifikatdateiformat PKCS#12 wird in der Zertifikatkonfiguration im FIPS-Modus nicht unterstützt. Beim Dateiformat PKCS#12 werden Nicht-FIPS-konforme Algorithmen als Standardspezifikation verwendet.

Voraussetzungen

Verwenden Sie bei der Bereitstellung Ihrer Umgebung unbedingt vertrauenswürdige Zertifikate.

Prozedur

  1. Starten Sie den vSphere Replication Management Server im strikten Modus.
    1. Navigieren Sie zu /opt/vmware/hms/conf/hms-fips.conf, öffnen Sie die Datei und ändern Sie die folgende Einstellung.
       "appl_system_cryptography" : true
    2. Entfernen Sie alle veralteten BCFKS-Speicher.
      rm /opt/vmware/hms/security/*.bks
    3. Starten Sie den vSphere Replication Management Server-Dienst neu.
      systemctl restart hms
  2. Starten Sie vSphere Replication im strikten Modus.
    1. Navigieren Sie zu /etc/vmware/hbrsrv.xml, öffnen Sie die Datei und ändern Sie die folgende Einstellung.
      <Config>
          <vmacore>
              <ssl>
                  <fips>true</fips>
              </ssl>
          </vmacore>
          </Config>
    2. Bearbeiten Sie die Datei /usr/lib/vmware/lib/ssl/openssl.cnf, heben Sie die Auskommentierung der Zeile # .include /usr/lib/vmware/lib/ssl/fipsmodule.cnf auf und ändern Sie die Zeile default_properties = "fips=no" in default_properties = "fips=yes".
      Das Dateifragment muss wie folgt aussehen:
      # Refer to the OpenSSL security policy for more information.
      # In ESX this will be generated at boot time.
      .include /usr/lib/vmware/lib/ssl/fipsmodule.cnf
      ...
      [algorithm_sect]
      # Since we use both default and FIPS provider, we need to be specific
      # about which algorithm implementation to use as default.
      default_properties = "fips=yes"
    3. Starten Sie den HBR-Dienst neu.
      systemctl restart hbrsrv
  3. Starten Sie den Dienst dr-configurator im strikten Modus.
    1. Navigieren Sie zu /opt/vmware/dr/conf/drconfig.xml, öffnen Sie die Datei und ändern Sie die folgende Einstellung.
      <Config>
          <vmacore>
              <ssl>
                  <fips>true</fips>
              </ssl>
          </vmacore>
          </Config>
    2. Bearbeiten Sie /usr/lib/systemd/system/dr-configurator.service. Heben Sie die Auskommentierung der Zeilen unter # Uncomment to enable FIPS auf.
      Das Dateifragment muss wie folgt aussehen.
      # Uncomment to enable FIPS
              Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules
              Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
    3. Starten Sie den Dienst dr-configurator neu.
      systemctl daemon-reload
             systemctl restart dr-configurator
  4. Melden Sie sich bei der Appliance als Benutzer root an und bearbeiten Sie die Kernel-Cmdline.
    1. Öffnen Sie /boot/grub/grub.cfg.
    2. Suchen Sie nach dem Eintrag menuentry.
    3. Fügen Sie Folgendes am Ende der Zeilen in jedem menuentry hinzu, der mit linux beginnt.
      fips=1
    4. Speichern Sie die Datei.
  5. Starten Sie die Config-Benutzeroberfläche im strikten Modus.
    1. Bearbeiten Sie /usr/lib/systemd/system/drconfigui.service. Kommentieren Sie die vorhandene Zeile Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' aus und heben Sie die Auskommentierung der Zeilen unter # Uncomment to enable FIPS aus.
      Das Dateifragment muss wie folgt aussehen.
      Environment=JRE_HOME=/usr/java/jre-vmware
      # Comment when enable FIPS
      # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
      # Uncomment to enable FIPS
      Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
      Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
      
    2. Heben Sie die Auskommentierung des Tags <Manager> in der Datei /opt/vmware/drconfigui/conf/context.xml auf.
      Das Dateifragment mit dem Tag muss wie folgt aussehen.
      <!-- Uncomment to enable FIPS mode.          -->
      <Manager pathname="" secureRandomAlgorithm=""/>
    3. (Optional) Starten Sie den Dienst drconfigui neu, wenn FIPS bereits für die Appliance aktiviert ist.
      systemctl daemon-reload; systemctl restart drconfigui
  6. Starten Sie die Benutzeroberfläche im strikten Modus.
    1. Bearbeiten Sie /usr/lib/systemd/system/dr-client.service. Kommentieren Sie die vorhandene Zeile Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' aus und heben Sie die Auskommentierung der Zeilen unter # Uncomment to enable FIPS aus.
      Das Dateifragment muss wie folgt aussehen.
      Environment=JRE_HOME=/usr/java/jre-vmware
      # Comment when enable FIPS
      # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
      # Uncomment to enable FIPS
      Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
      Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
      
    2. Heben Sie die Auskommentierung des Tags <Manager> in der Datei /opt/vmware/dr-client/conf/context.xml auf.
      Das Dateifragment mit dem Tag muss wie folgt aussehen.
      <!-- Uncomment to enable FIPS mode.              -->
      <Manager pathname="" secureRandomAlgorithm=""/>
    3. Bearbeiten Sie die Datei /opt/vmware/dr-client/lib/h5dr.properties und ändern Sie die Parameter so, dass sie auf einen Keystore im BCFKS-Format und einen Truststore mit Root-CA-Zertifikaten verweisen.
      Die Eigenschaft muss wie folgt aussehen.
      drTrustStorePass=<same as keyStorePass>
      drTrustStoreName=h5dr.truststore.bks
      keyStoreName=h5dr.keystore.bks
      Wenn Sie einen anderen Truststore als den Standard-Truststore verwenden möchten, müssen Sie einen Link zum Truststore in /opt/vmware/dr-client/lib/ oder /opt/vmware/dr-client/webapps/dr/WEB-INF/classes/ hinzufügen. Das Keystore-Format muss BCFKS sein. Verwenden Sie den folgenden Befehl für den Import aus dem JKS-Format.
      $JAVA_HOME/bin/keytool -importkeystore -srckeystore <path-to-jks-keystore> -srcstoretype JKS -srcstorepass <keystorepass> -destkeystore <path-to-target-bks-keystore> -deststoretype BCFKS -deststorepass <keystorepass> -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/dr-client/lib/ext/bc-fips-1.0.2.3.jar
      Hinweis: Die von Ihnen verwendeten Keystore- und Truststore-Dateien müssen über die Berechtigung Andere: Lesen verfügen. Nach der Neukonfiguration der Appliance müssen Sie die Datei /opt/vmware/dr-client/lib/h5dr.properties gemäß den obigen Regeln erneut bearbeiten.
    4. (Optional) Starten Sie den dr-client-Dienst neu, wenn FIPS bereits für die Appliance aktiviert ist.
      systemctl daemon-reload; systemctl restart dr-client
  7. Starten Sie das UI-Plug-In (dr-client-plugin) im strikten Modus.
    1. Bearbeiten Sie /usr/lib/systemd/system/dr-client-plugin.service. Kommentieren Sie die vorhandene Zeile Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' aus und heben Sie die Auskommentierung der Zeilen unter # Uncomment to enable FIPS aus.
      Das Dateifragment muss wie folgt aussehen.
      Environment=JRE_HOME=/usr/java/jre-vmware
      # Comment when enable FIPS
      # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
      # Uncomment to enable FIPS
      Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
      Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
    2. Heben Sie die Auskommentierung des Tags <Manager> in der Datei /opt/vmware/dr-client-plugin/conf/context.xml auf.
      Das Dateifragment mit dem Tag muss wie folgt aussehen.
      <!-- Uncomment to enable FIPS mode.          -->
      <Manager pathname="" secureRandomAlgorithm=""/>
    3. (Optional) Starten Sie den dr-client-plugin-Dienst neu, wenn FIPS bereits für die Appliance aktiviert ist.
      systemctl daemon-reload; systemctl restart dr-client-plugin
  8. Starten Sie den REST API-Dienst (dr-rest) im strikten Modus.
    1. Bearbeiten Sie /usr/lib/systemd/system/dr-rest.service. Kommentieren Sie die vorhandene Zeile Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' aus und heben Sie die Auskommentierung der Zeilen unter # Uncomment to enable FIPS aus.
      Das Dateifragment muss wie folgt aussehen.
      Environment=JRE_HOME=/usr/java/jre-vmware
      # Comment when enable FIPS
      # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
      # Uncomment to enable FIPS
      Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
      Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
      
    2. Heben Sie die Auskommentierung des Tags <Manager> in der Datei /opt/vmware/dr-rest/conf/context.xml auf.
      Das Dateifragment mit dem Tag muss wie folgt aussehen.
      <!-- Uncomment to enable FIPS mode.          -->
      <Manager pathname="" secureRandomAlgorithm=""/>
    3. (Optional) Starten Sie den dr-rest-Dienst neu, wenn FIPS bereits für die Appliance aktiviert ist.
      systemctl daemon-reload; systemctl restart dr-rest
  9. Starten Sie die Appliance neu.
    Stellen Sie sicher, dass der Befehl systemctl daemon-reload mindestens einmal ausgeführt wird, nachdem Sie die Änderungen vorgenommen haben und bevor Sie die Appliance neu starten.
    Hinweis: SSHD liest, dass der Kernel den FIPS-Modus aktiviert hat, und aktiviert ihn auch. In der SSHD-Konfiguration muss keine Bearbeitung vorgenommen werden.

Nächste Maßnahme

Überprüfen Sie, ob der FIPS-Modus aktiviert ist.