En este tema se describe la tarea necesaria que debe realizar para activar el modo Estándares federales de procesamiento de información (Federal Information Processing Standards, FIPS) en el dispositivo de Site Recovery Manager.

Nota: El formato de archivo de certificado PKCS#12 no se admite en la configuración de certificados en modo FIPS. El formato de archivo PKCS#12 utiliza algoritmos no conformes con FIPS como especificación estándar.

Requisitos previos

Asegúrese de utilizar certificados de confianza al implementar su entorno.

Procedimiento

  1. Edite los archivos de configuración de los servicios de Site Recovery Manager.
    1. Desplácese hasta /opt/vmware/dr/conf/drconfig.xml, abra el archivo y cambie la siguiente configuración. 
      <Config>
    <vmacore>
        <ssl>
            <fips>true</fips>
        </ssl>
    </vmacore>
</Config>
    2. Desplácese hasta /opt/vmware/srm/conf/vmware-dr.template.xml, abra el archivo y cambie la siguiente configuración. 
      <Config>
    <vmacore>
        <ssl>
            <fips>true</fips>
        </ssl>
    </vmacore>
</Config>
    3. (opcional) Si el dispositivo está configurado, edite el archivo /opt/vmware/srm/conf/vmware-dr.xml. 
      <Config>
    <vmacore>
        <ssl>
            <fips>true</fips>
        </ssl>
    </vmacore>
</Config>
  2. Inicie los servicios de Site Recovery Manager en modo estricto.
    1. Edite /usr/lib/systemd/system/dr-configurator.service. Quite los comentarios de las líneas bajo # Uncomment to enable FIPS.
      El fragmento de archivo debe tener este aspecto. 
      # Uncomment to enable FIPS
Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules
Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
    2. Edite /usr/lib/systemd/system/srm-server.service. Quite los comentarios de las líneas bajo # Uncomment to enable FIPS.
      El fragmento de archivo debe tener este aspecto. 
      # Uncomment to enable FIPS
Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules
Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
    3. Reinicie dr-configurator y srm-server. Ejecute los siguientes comandos. 
      systemctl daemon-reload
systemctl restart dr-configurator
systemctl restart srm-server
  3. Inicie sesión en el dispositivo como usuario root y edite la línea de símbolo del kernel.
    1. Abra /boot/grub/grub.cfg.
    2. Busque la entrada menuentry.
    3. Anexe lo siguiente al final de cada línea de menuentry que empiece por linux.
      fips=1
    4. Guarde el archivo.
  4. Inicie la interfaz de usuario de configuración en modo estricto.
    1. Edite /usr/lib/systemd/system/drconfigui.service. Comente el Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' existente y quite los comentarios de las líneas bajo # Uncomment to enable FIPS.
      El fragmento de archivo debe tener este aspecto. 
      Environment=JRE_HOME=/usr/java/jre-vmware
# Comment when enable FIPS
# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
# Uncomment to enable FIPS
Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
    2. Quite los comentarios de la etiqueta <Manager> en el archivo /opt/vmware/drconfigui/conf/context.xml.
      El fragmento de archivo con la etiqueta debe tener este aspecto. 
      <!-- Uncomment to enable FIPS mode.          -->
<Manager pathname="" secureRandomAlgorithm=""/>
    3. (opcional) Reinicie el servicio drconfigui si FIPS ya está habilitado para el dispositivo.
      systemctl daemon-reload; systemctl restart drconfigui
  5. Inicie la interfaz de usuario en modo estricto.
    1. Edite /usr/lib/systemd/system/dr-client.service. Comente el Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' existente y quite los comentarios de las líneas bajo # Uncomment to enable FIPS.
      El fragmento de archivo debe tener este aspecto. 
      Environment=JRE_HOME=/usr/java/jre-vmware
# Comment when enable FIPS
# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
# Uncomment to enable FIPS
Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
    2. Quite los comentarios de la etiqueta <Manager> en el archivo /opt/vmware/dr-client/conf/context.xml.
      El fragmento de archivo con la etiqueta debe tener este aspecto. 
      <!-- Uncomment to enable FIPS mode.              -->
<Manager pathname="" secureRandomAlgorithm=""/>
    3. Edite el archivo /opt/vmware/dr-client/lib/h5dr.properties y modifique los parámetros para que apunten al almacén de claves con formato BCFKS y al almacén de confianza con certificados de CA raíz.
      La propiedad debe tener este aspecto. 
      drTrustStorePass=<same as keyStorePass>
drTrustStoreName=h5dr.truststore.bks
keyStoreName=h5dr.keystore.bks
      Si decide utilizar un almacén de confianza distinto al predeterminado, debe agregar un vínculo al almacén de confianza en /opt/vmware/dr-client/lib/ o /opt/vmware/dr-client/webapps/dr/WEB-INF/classes/. El formato del almacén de claves debe ser BCFKS. Para importarlo desde formato JKS, utilice el siguiente comando. 
      $JAVA_HOME/bin/keytool -importkeystore -srckeystore <path-to-jks-keystore> -srcstoretype JKS -srcstorepass <keystorepass> -destkeystore <path-to-target-bks-keystore> -deststoretype BCFKS -deststorepass <keystorepass> -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/dr-client/lib/ext/bc-fips-1.0.2.3.jar
      Nota: Los archivos del almacén de claves y del almacén de confianza que utilice deben tener el permiso Others: Read. Después de volver a configurar el dispositivo, debe volver a editar el archivo /opt/vmware/dr-client/lib/h5dr.properties según las reglas anteriores.
    4. (opcional) Reinicie el servicio dr-client si FIPS ya está habilitado para el dispositivo.
      systemctl daemon-reload; systemctl restart dr-client
  6. Inicie el complemento de interfaz de usuario (dr-client-plugin) en modo estricto.
    1. Edite /usr/lib/systemd/system/dr-client-plugin.service. Comente el Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' existente y quite los comentarios de las líneas bajo # Uncomment to enable FIPS.
      El fragmento de archivo debe tener este aspecto. 
      Environment=JRE_HOME=/usr/java/jre-vmware
# Comment when enable FIPS
# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
# Uncomment to enable FIPS
Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
    2. Quite los comentarios de la etiqueta <Manager> en el archivo /opt/vmware/dr-client-plugin/conf/context.xml.
      El fragmento de archivo con la etiqueta debe tener este aspecto. 
      <!-- Uncomment to enable FIPS mode.          -->
<Manager pathname="" secureRandomAlgorithm=""/>
    3. (opcional) Reinicie el servicio dr-client-plugin si FIPS ya está habilitado para el dispositivo.
      systemctl daemon-reload; systemctl restart dr-client-plugin
  7. Inicie el servicio de REST API (dr-rest) en modo estricto.
    1. Edite /usr/lib/systemd/system/dr-rest.service. Comente el Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' existente y quite los comentarios de las líneas bajo # Uncomment to enable FIPS.
      El fragmento de archivo debe tener este aspecto. 
      Environment=JRE_HOME=/usr/java/jre-vmware
# Comment when enable FIPS
# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
# Uncomment to enable FIPS
Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
    2. Quite los comentarios de la etiqueta <Manager> en el archivo /opt/vmware/dr-rest/conf/context.xml.
      El fragmento de archivo con la etiqueta debe tener este aspecto. 
      <!-- Uncomment to enable FIPS mode.          -->
<Manager pathname="" secureRandomAlgorithm=""/>
    3. (opcional) Reinicie el servicio dr-rest si FIPS ya está habilitado para el dispositivo.
      systemctl daemon-reload; systemctl restart dr-rest
  8. Inicie el dispositivo.
    Asegúrese de que el comando systemctl daemon-reload se ejecute al menos una vez después de realizar las modificaciones y antes de reiniciar el dispositivo.
    Nota: SSHD leerá que el kernel ha habilitado el modo FIPS y también lo activará. No es necesario editar nada en la configuración de sshd.

Qué hacer a continuación

Valide que el modo FIPS esté activado.