En este tema se describe la tarea necesaria que debe realizar para activar el modo Estándares federales de procesamiento de información (Federal Information Processing Standards, FIPS) en el dispositivo de VMware Live Site Recovery 9.0.1.
Nota: El formato de archivo de certificado
PKCS#12 no se admite en la configuración de certificados en modo FIPS. El formato de archivo
PKCS#12 utiliza algoritmos no conformes con FIPS como especificación estándar.
Requisitos previos
Asegúrese de utilizar certificados de confianza al implementar su entorno.
Procedimiento
- Edite los archivos de configuración de los servicios de VMware Live Site Recovery.
- Desplácese hasta /opt/vmware/dr/conf/drconfig.xml, abra el archivo y cambie este ajuste.
<Config> <vmacore> <ssl> <fips>true</fips> </ssl> </vmacore> </Config>
- Desplácese hasta /opt/vmware/srm/conf/vmware-dr.template.xml, abra el archivo y cambie este ajuste.
<Config> <vmacore> <ssl> <fips>true</fips> </ssl> </vmacore> </Config>
- (opcional) Si el dispositivo está configurado, edite el archivo /opt/vmware/srm/conf/vmware-dr.xml.
<Config> <vmacore> <ssl> <fips>true</fips> </ssl> </vmacore> </Config>
- Desplácese hasta /opt/vmware/dr/conf/drconfig.xml, abra el archivo y cambie este ajuste.
- Inicie los servicios de VMware Live Site Recovery en modo estricto.
- Edite /usr/lib/systemd/system/dr-configurator.service. Quite los comentarios de las líneas bajo # Uncomment to enable FIPS.
El fragmento de archivo debe tener este aspecto.
# Uncomment to enable FIPS Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
- Edite /usr/lib/systemd/system/srm-server.service. Quite los comentarios de las líneas bajo # Uncomment to enable FIPS.
El fragmento de archivo debe tener este aspecto.
# Uncomment to enable FIPS Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
- Reinicie dr-configurator y srm-server. Ejecute los siguientes comandos.
systemctl daemon-reload systemctl restart dr-configurator systemctl restart srm-server
- Edite /usr/lib/systemd/system/dr-configurator.service. Quite los comentarios de las líneas bajo # Uncomment to enable FIPS.
- Inicie sesión en el dispositivo como usuario root y edite la línea de símbolo del kernel.
- Abra /boot/grub/grub.cfg.
- Busque la entrada menuentry.
- Anexe lo siguiente al final de la línea de cada menuentry que comienza con linux.
fips=1
- Guarde el archivo.
- Inicie la interfaz de usuario de configuración en modo estricto.
- Edite /opt/vmware/drconfigui/conf/service.env. Quite la marca de comentario del conjunto de variables de entorno FIPS_ENABLED=True.
El fragmento de archivo debe tener este aspecto.
# Environment variable to mark is FIPS mode enabled # Uncomment to enable FIPS FIPS_ENABLED=True
- (opcional) Reinicie el servicio drconfigui si FIPS ya está habilitado para el dispositivo.
systemctl restart drconfigui
- Edite /opt/vmware/drconfigui/conf/service.env. Quite la marca de comentario del conjunto de variables de entorno FIPS_ENABLED=True.
- Inicie la interfaz de usuario en modo estricto.
- Edite /opt/vmware/dr-client/conf/service.env. Quite la marca de comentario del conjunto de variables de entorno FIPS_ENABLED=True.
El fragmento de archivo debe tener este aspecto.
# Environment variable to mark is FIPS mode enabled # Uncomment to enable FIPS FIPS_ENABLED=True
- Edite /opt/vmware/dr-client/lib/h5dr.properties y modifique los parámetros para que apunten al almacén de claves con formato BCFKS y al almacén de confianza con certificados de CA raíz.
La propiedad debe tener este aspecto.
drTrustStorePass=<same as keyStorePass> drTrustStoreName=h5dr.truststore.bks keyStoreName=h5dr.keystore.bks
- Edite el archivo /opt/vmware/dr-client/lib/h5dr.properties y modifique los parámetros para que apunten al almacén de claves con formato BCFKS y al almacén de confianza con certificados de CA raíz.
La propiedad debe tener este aspecto.
drTrustStorePass=<same as keyStorePass> drTrustStoreName=h5dr.truststore.bks keyStoreName=h5dr.keystore.bks
Si decide utilizar un almacén de confianza distinto al predeterminado, debe agregar un vínculo al almacén de confianza en /opt/vmware/dr-client/lib/ o /opt/vmware/dr-client/webapps/dr/WEB-INF/classes/. El formato del almacén de claves debe ser BCFKS. Para importarlo desde formato JKS, utilice el siguiente comando.$JAVA_HOME/bin/keytool -importkeystore -srckeystore <path-to-jks-keystore> -srcstoretype JKS -srcstorepass <keystorepass> -destkeystore <path-to-target-bks-keystore> -deststoretype BCFKS -deststorepass <keystorepass> -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/dr-client/lib/ext/bc-fips-1.0.2.4.jar
Nota: Los archivos del almacén de claves y del almacén de confianza que utilice deben tener el permiso Others: Read. Después de volver a configurar el dispositivo, debe volver a editar el archivo /opt/vmware/dr-client/lib/h5dr.properties según las reglas anteriores. - (opcional) Reinicie el servicio dr-client si FIPS ya está habilitado para el dispositivo.
systemctl restart dr-client
- Edite /opt/vmware/dr-client/conf/service.env. Quite la marca de comentario del conjunto de variables de entorno FIPS_ENABLED=True.
- Inicie el complemento de interfaz de usuario (dr-client-plugin) en modo estricto.
- Edite /opt/vmware/dr-client-plugin/conf/service.env. Quite la marca de comentario del conjunto de variables de entorno FIPS_ENABLED=True.
El fragmento de archivo debe tener este aspecto.
# Environment variable to mark is FIPS mode enabled # Uncomment to enable FIPS FIPS_ENABLED=True
- (opcional) Reinicie el servicio dr-client-plugin si FIPS ya está habilitado para el dispositivo.
systemctl restart dr-client-plugin
- Edite /opt/vmware/dr-client-plugin/conf/service.env. Quite la marca de comentario del conjunto de variables de entorno FIPS_ENABLED=True.
- Inicie el servicio de REST API (dr-rest) en modo estricto.
- Edite /opt/vmware/dr-rest/conf/service.env. Quite la marca de comentario del conjunto de variables de entorno FIPS_ENABLED=True.
El fragmento de archivo debe tener este aspecto.
# Environment variable to mark is FIPS mode enabled # Uncomment to enable FIPS FIPS_ENABLED=True
- Edite /opt/vmware/dr-rest/lib/dr-rest-api.properties y agregue parámetros para que apunten al almacén de confianza en formato BCFKS con certificados de CA raíz.
La propiedad debe tener este aspecto.
drTrustStorePass=<same as the keyStorePass of dr-client> drTrustStoreName=dr-rest.truststore.bks
- (opcional) Reinicie el servicio dr-rest si FIPS ya está habilitado para el dispositivo.
systemctl restart dr-rest
- Edite /opt/vmware/dr-rest/conf/service.env. Quite la marca de comentario del conjunto de variables de entorno FIPS_ENABLED=True.
- Inicie el servicio de agente de VMware Live Recovery (dr-dpx-agent) en modo estricto.
- Edite el archivo /opt/vmware/dr-dpx-agent/conf/service.env.
# Environment variable to mark is FIPS mode enabled # Uncomment to enable FIPS FIPS_ENABLED=True
- Reinicie el servicio
dr-dpx-agent
en el dispositivo.systemctl restart dr-dpx-agent
- Edite el archivo /opt/vmware/dr-dpx-agent/conf/service.env.
- Inicie el dispositivo.
Nota: SSHD leerá que el kernel ha habilitado el modo FIPS y también lo activará. No es necesario editar nada en la configuración de sshd.
Qué hacer a continuación
Valide que el modo FIPS esté activado.