In diesem Thema wird die erforderliche Aufgabe beschrieben, die Sie ausführen müssen, um den FIPS-Modus (Federal Information Processing Standards) auf der vSphere Replication-Appliance zu aktivieren.
Hinweis: Das Zertifikatdateiformat
PKCS#12 wird in der Zertifikatkonfiguration im FIPS-Modus nicht unterstützt. Beim Dateiformat
PKCS#12 werden Nicht-FIPS-konforme Algorithmen als Standardspezifikation verwendet.
Voraussetzungen
Verwenden Sie bei der Bereitstellung Ihrer Umgebung unbedingt vertrauenswürdige Zertifikate.
Prozedur
- Starten Sie den vSphere Replication Management Server im strikten Modus.
- Navigieren Sie zu /opt/vmware/hms/conf/hms-fips.conf, öffnen Sie die Datei und ändern Sie die folgende Einstellung.
"appl_system_cryptography" : true
- Entfernen Sie alle veralteten BCFKS-Speicher.
rm /opt/vmware/hms/security/*.bks
- Starten Sie den vSphere Replication Management Server-Dienst neu.
systemctl restart hms
- Navigieren Sie zu /opt/vmware/hms/conf/hms-fips.conf, öffnen Sie die Datei und ändern Sie die folgende Einstellung.
- Starten Sie vSphere Replication im strikten Modus.
- Navigieren Sie zu /etc/vmware/hbrsrv.xml, öffnen Sie die Datei und ändern Sie die folgende Einstellung.
<Config> <vmacore> <ssl> <fips>true</fips> </ssl> </vmacore> </Config>
- Bearbeiten Sie die Datei /usr/lib/vmware/lib/ssl/openssl.cnf, heben Sie die Auskommentierung der Zeile
# .include /usr/lib/vmware/lib/ssl/fipsmodule.cnf
auf und ändern Sie die Zeile default_properties = "fips=no" in default_properties = "fips=yes".Das Dateifragment muss wie folgt aussehen:# Refer to the OpenSSL security policy for more information. # In ESX this will be generated at boot time. .include /usr/lib/vmware/lib/ssl/fipsmodule.cnf ... [algorithm_sect] # Since we use both default and FIPS provider, we need to be specific # about which algorithm implementation to use as default. default_properties = "fips=yes"
- Starten Sie den HBR-Dienst neu.
systemctl restart hbrsrv
- Navigieren Sie zu /etc/vmware/hbrsrv.xml, öffnen Sie die Datei und ändern Sie die folgende Einstellung.
- Starten Sie den Dienst dr-configurator im strikten Modus.
- Navigieren Sie zu /opt/vmware/dr/conf/drconfig.xml, öffnen Sie die Datei und ändern Sie die folgende Einstellung.
<Config> <vmacore> <ssl> <fips>true</fips> </ssl> </vmacore> </Config>
- Bearbeiten Sie /usr/lib/systemd/system/dr-configurator.service. Heben Sie die Auskommentierung der Zeilen unter # Uncomment to enable FIPS auf.
Das Dateifragment muss wie folgt aussehen.
# Uncomment to enable FIPS Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
- Starten Sie den Dienst dr-configurator neu.
systemctl daemon-reload systemctl restart dr-configurator
- Navigieren Sie zu /opt/vmware/dr/conf/drconfig.xml, öffnen Sie die Datei und ändern Sie die folgende Einstellung.
- Melden Sie sich bei der Appliance als Benutzer root an und bearbeiten Sie die Kernel-Cmdline.
- Öffnen Sie /boot/grub/grub.cfg.
- Suchen Sie nach dem Eintrag menuentry.
- Fügen Sie Folgendes am Ende der Zeilen in jedem menuentry hinzu, der mit linux beginnt.
fips=1
- Speichern Sie die Datei.
- Starten Sie die Config-Benutzeroberfläche im strikten Modus.
- Bearbeiten Sie /usr/lib/systemd/system/drconfigui.service. Kommentieren Sie die vorhandene Zeile Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' aus und heben Sie die Auskommentierung der Zeilen unter # Uncomment to enable FIPS aus.
Das Dateifragment muss wie folgt aussehen.
Environment=JRE_HOME=/usr/java/jre-vmware # Comment when enable FIPS # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' # Uncomment to enable FIPS Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*' Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
- Heben Sie die Auskommentierung des Tags <Manager> in der Datei /opt/vmware/drconfigui/conf/context.xml auf.
Das Dateifragment mit dem Tag muss wie folgt aussehen.
<!-- Uncomment to enable FIPS mode. --> <Manager pathname="" secureRandomAlgorithm=""/>
- (Optional) Starten Sie den Dienst drconfigui neu, wenn FIPS bereits für die Appliance aktiviert ist.
systemctl daemon-reload; systemctl restart drconfigui
- Bearbeiten Sie /usr/lib/systemd/system/drconfigui.service. Kommentieren Sie die vorhandene Zeile Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' aus und heben Sie die Auskommentierung der Zeilen unter # Uncomment to enable FIPS aus.
- Starten Sie die Benutzeroberfläche im strikten Modus.
- Bearbeiten Sie /usr/lib/systemd/system/dr-client.service. Kommentieren Sie die vorhandene Zeile Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' aus und heben Sie die Auskommentierung der Zeilen unter # Uncomment to enable FIPS aus.
Das Dateifragment muss wie folgt aussehen.
Environment=JRE_HOME=/usr/java/jre-vmware # Comment when enable FIPS # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' # Uncomment to enable FIPS Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*' Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
- Heben Sie die Auskommentierung des Tags <Manager> in der Datei /opt/vmware/dr-client/conf/context.xml auf.
Das Dateifragment mit dem Tag muss wie folgt aussehen.
<!-- Uncomment to enable FIPS mode. --> <Manager pathname="" secureRandomAlgorithm=""/>
- Bearbeiten Sie die Datei /opt/vmware/dr-client/lib/h5dr.properties und ändern Sie die Parameter so, dass sie auf einen Keystore im BCFKS-Format und einen Truststore mit Root-CA-Zertifikaten verweisen.
Die Eigenschaft muss wie folgt aussehen.
drTrustStorePass=<same as keyStorePass> drTrustStoreName=h5dr.truststore.bks keyStoreName=h5dr.keystore.bks
Wenn Sie einen anderen Truststore als den Standard-Truststore verwenden möchten, müssen Sie einen Link zum Truststore in /opt/vmware/dr-client/lib/ oder /opt/vmware/dr-client/webapps/dr/WEB-INF/classes/ hinzufügen. Das Keystore-Format muss BCFKS sein. Verwenden Sie den folgenden Befehl für den Import aus dem JKS-Format.$JAVA_HOME/bin/keytool -importkeystore -srckeystore <path-to-jks-keystore> -srcstoretype JKS -srcstorepass <keystorepass> -destkeystore <path-to-target-bks-keystore> -deststoretype BCFKS -deststorepass <keystorepass> -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/dr-client/lib/ext/bc-fips-1.0.2.3.jar
Hinweis: Die von Ihnen verwendeten Keystore- und Truststore-Dateien müssen über die Berechtigung Andere: Lesen verfügen. Nach der Neukonfiguration der Appliance müssen Sie die Datei /opt/vmware/dr-client/lib/h5dr.properties gemäß den obigen Regeln erneut bearbeiten. - (Optional) Starten Sie den dr-client-Dienst neu, wenn FIPS bereits für die Appliance aktiviert ist.
systemctl daemon-reload; systemctl restart dr-client
- Bearbeiten Sie /usr/lib/systemd/system/dr-client.service. Kommentieren Sie die vorhandene Zeile Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' aus und heben Sie die Auskommentierung der Zeilen unter # Uncomment to enable FIPS aus.
- Starten Sie das UI-Plug-In (dr-client-plugin) im strikten Modus.
- Bearbeiten Sie /usr/lib/systemd/system/dr-client-plugin.service. Kommentieren Sie die vorhandene Zeile Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' aus und heben Sie die Auskommentierung der Zeilen unter # Uncomment to enable FIPS aus.
Das Dateifragment muss wie folgt aussehen.
Environment=JRE_HOME=/usr/java/jre-vmware # Comment when enable FIPS # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' # Uncomment to enable FIPS Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*' Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
- Heben Sie die Auskommentierung des Tags <Manager> in der Datei /opt/vmware/dr-client-plugin/conf/context.xml auf.
Das Dateifragment mit dem Tag muss wie folgt aussehen.
<!-- Uncomment to enable FIPS mode. --> <Manager pathname="" secureRandomAlgorithm=""/>
- (Optional) Starten Sie den dr-client-plugin-Dienst neu, wenn FIPS bereits für die Appliance aktiviert ist.
systemctl daemon-reload; systemctl restart dr-client-plugin
- Bearbeiten Sie /usr/lib/systemd/system/dr-client-plugin.service. Kommentieren Sie die vorhandene Zeile Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' aus und heben Sie die Auskommentierung der Zeilen unter # Uncomment to enable FIPS aus.
- Starten Sie den REST API-Dienst (dr-rest) im strikten Modus.
- Bearbeiten Sie /usr/lib/systemd/system/dr-rest.service. Kommentieren Sie die vorhandene Zeile Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' aus und heben Sie die Auskommentierung der Zeilen unter # Uncomment to enable FIPS aus.
Das Dateifragment muss wie folgt aussehen.
Environment=JRE_HOME=/usr/java/jre-vmware # Comment when enable FIPS # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' # Uncomment to enable FIPS Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*' Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
- Heben Sie die Auskommentierung des Tags <Manager> in der Datei /opt/vmware/dr-rest/conf/context.xml auf.
Das Dateifragment mit dem Tag muss wie folgt aussehen.
<!-- Uncomment to enable FIPS mode. --> <Manager pathname="" secureRandomAlgorithm=""/>
- (Optional) Starten Sie den dr-rest-Dienst neu, wenn FIPS bereits für die Appliance aktiviert ist.
systemctl daemon-reload; systemctl restart dr-rest
- Bearbeiten Sie /usr/lib/systemd/system/dr-rest.service. Kommentieren Sie die vorhandene Zeile Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' aus und heben Sie die Auskommentierung der Zeilen unter # Uncomment to enable FIPS aus.
- Starten Sie die Appliance neu.
Stellen Sie sicher, dass der Befehl
systemctl daemon-reload
mindestens einmal ausgeführt wird, nachdem Sie die Änderungen vorgenommen haben und bevor Sie die Appliance neu starten.Hinweis: SSHD liest, dass der Kernel den FIPS-Modus aktiviert hat, und aktiviert ihn auch. In der SSHD-Konfiguration muss keine Bearbeitung vorgenommen werden.
Nächste Maßnahme
Überprüfen Sie, ob der FIPS-Modus aktiviert ist.