En este tema se describe la tarea necesaria que debe realizar para activar el modo Estándares federales de procesamiento de información (Federal Information Processing Standards, FIPS) en el dispositivo de Site Recovery Manager 9.0.1.

Nota: El formato de archivo de certificado PKCS#12 no se admite en la configuración de certificados en modo FIPS. El formato de archivo PKCS#12 utiliza algoritmos no conformes con FIPS como especificación estándar.

Requisitos previos

Asegúrese de utilizar certificados de confianza al implementar su entorno.

Procedimiento

  1. Edite los archivos de configuración de los servicios de Site Recovery Manager.
    1. Desplácese hasta /opt/vmware/dr/conf/drconfig.xml, abra el archivo y cambie este ajuste.
      <Config>
          <vmacore>
              <ssl>
                  <fips>true</fips>
              </ssl>
          </vmacore>
      </Config>
    2. Desplácese hasta /opt/vmware/srm/conf/vmware-dr.template.xml, abra el archivo y cambie este ajuste.
      <Config>
          <vmacore>
              <ssl>
                  <fips>true</fips>
              </ssl>
          </vmacore>
      </Config>
    3. (opcional) Si el dispositivo está configurado, edite el archivo /opt/vmware/srm/conf/vmware-dr.xml.
      <Config>
          <vmacore>
              <ssl>
                  <fips>true</fips>
              </ssl>
          </vmacore>
      </Config>
  2. Inicie los servicios de Site Recovery Manager en modo estricto.
    1. Edite /usr/lib/systemd/system/dr-configurator.service. Quite los comentarios de las líneas bajo # Uncomment to enable FIPS.
      El fragmento de archivo debe tener este aspecto.
      # Uncomment to enable FIPS
      Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules
      Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
    2. Edite /usr/lib/systemd/system/srm-server.service. Quite los comentarios de las líneas bajo # Uncomment to enable FIPS.
      El fragmento de archivo debe tener este aspecto.
      # Uncomment to enable FIPS
      Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules
      Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
    3. Reinicie dr-configurator y srm-server. Ejecute los siguientes comandos.
      systemctl daemon-reload
      systemctl restart dr-configurator
      systemctl restart srm-server
  3. Inicie sesión en el dispositivo como usuario root y edite la línea de símbolo del kernel.
    1. Abra /boot/grub/grub.cfg.
    2. Busque la entrada menuentry.
    3. Anexe lo siguiente al final de la línea de cada menuentry que comienza con linux.
      fips=1
    4. Guarde el archivo.
  4. Inicie la interfaz de usuario de configuración en modo estricto.
    1. Edite /opt/vmware/drconfigui/conf/service.env. Quite la marca de comentario del conjunto de variables de entorno FIPS_ENABLED=True.
      El fragmento de archivo debe tener este aspecto.
      # Environment variable to mark is FIPS mode enabled
      # Uncomment to enable FIPS
      FIPS_ENABLED=True
      
    2. (opcional) Reinicie el servicio drconfigui si FIPS ya está habilitado para el dispositivo.
      systemctl restart drconfigui
  5. Inicie la interfaz de usuario en modo estricto.
    1. Edite /opt/vmware/dr-client/conf/service.env. Quite la marca de comentario del conjunto de variables de entorno FIPS_ENABLED=True.
      El fragmento de archivo debe tener este aspecto.
      # Environment variable to mark is FIPS mode enabled
      # Uncomment to enable FIPS
      FIPS_ENABLED=True
      
    2. Edite /opt/vmware/dr-client/lib/h5dr.properties y modifique los parámetros para que apunten al almacén de claves con formato BCFKS y al almacén de confianza con certificados de CA raíz.
      La propiedad debe tener este aspecto.
      drTrustStorePass=<same as keyStorePass>
      drTrustStoreName=h5dr.truststore.bks
      keyStoreName=h5dr.keystore.bks
    3. Edite el archivo /opt/vmware/dr-client/lib/h5dr.properties y modifique los parámetros para que apunten al almacén de claves con formato BCFKS y al almacén de confianza con certificados de CA raíz.
      La propiedad debe tener este aspecto.
      drTrustStorePass=<same as keyStorePass>
      drTrustStoreName=h5dr.truststore.bks
      keyStoreName=h5dr.keystore.bks
      Si decide utilizar un almacén de confianza distinto al predeterminado, debe agregar un vínculo al almacén de confianza en /opt/vmware/dr-client/lib/ o /opt/vmware/dr-client/webapps/dr/WEB-INF/classes/. El formato del almacén de claves debe ser BCFKS. Para importarlo desde formato JKS, utilice el siguiente comando.
      $JAVA_HOME/bin/keytool -importkeystore -srckeystore <path-to-jks-keystore> -srcstoretype JKS -srcstorepass <keystorepass> -destkeystore <path-to-target-bks-keystore> -deststoretype BCFKS -deststorepass <keystorepass> -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/dr-client/lib/ext/bc-fips-1.0.2.4.jar
      
      Nota: Los archivos del almacén de claves y del almacén de confianza que utilice deben tener el permiso Others: Read. Después de volver a configurar el dispositivo, debe volver a editar el archivo /opt/vmware/dr-client/lib/h5dr.properties según las reglas anteriores.
    4. (opcional) Reinicie el servicio dr-client si FIPS ya está habilitado para el dispositivo.
      systemctl restart dr-client
  6. Inicie el complemento de interfaz de usuario (dr-client-plugin) en modo estricto.
    1. Edite /opt/vmware/dr-client-plugin/conf/service.env. Quite la marca de comentario del conjunto de variables de entorno FIPS_ENABLED=True.
      El fragmento de archivo debe tener este aspecto.
      # Environment variable to mark is FIPS mode enabled
      # Uncomment to enable FIPS
      FIPS_ENABLED=True
    2. (opcional) Reinicie el servicio dr-client-plugin si FIPS ya está habilitado para el dispositivo.
      systemctl restart dr-client-plugin
  7. Inicie el servicio de REST API (dr-rest) en modo estricto.
    1. Edite /opt/vmware/dr-rest/conf/service.env. Quite la marca de comentario del conjunto de variables de entorno FIPS_ENABLED=True.
      El fragmento de archivo debe tener este aspecto.
      # Environment variable to mark is FIPS mode enabled
      # Uncomment to enable FIPS
      FIPS_ENABLED=True
      
    2. Edite /opt/vmware/dr-rest/lib/dr-rest-api.properties y agregue parámetros para que apunten al almacén de confianza en formato BCFKS con certificados de CA raíz.
      La propiedad debe tener este aspecto.
      drTrustStorePass=<same as the keyStorePass of dr-client>
      drTrustStoreName=dr-rest.truststore.bks
    3. (opcional) Reinicie el servicio dr-rest si FIPS ya está habilitado para el dispositivo.
      systemctl restart dr-rest
  8. Inicie el servicio de agente de VMware Live Recovery (dr-dpx-agent) en modo estricto.
    1. Edite el archivo /opt/vmware/dr-dpx-agent/conf/service.env.
      # Environment variable to mark is FIPS mode enabled
      # Uncomment to enable FIPS
      FIPS_ENABLED=True
    2. Reinicie el servicio dr-dpx-agent en el dispositivo.
      systemctl restart dr-dpx-agent
  9. Inicie el dispositivo.
    Nota: SSHD leerá que el kernel ha habilitado el modo FIPS y también lo activará. No es necesario editar nada en la configuración de sshd.

Qué hacer a continuación

Valide que el modo FIPS esté activado.