Habilitar el modo FIPS activa los conjuntos de claves de cifrado que cumplen con FIPS. Por tanto, cualquier comunicación segura con NSX Edge (entrante o saliente ) utiliza algoritmos o protocolos criptográficos permitidos por FIPS.
En función de sus requisitos, puede habilitar FIPS en algunos de sus dispositivos NSX Edge o en todos ellos. Los dispositivos NSX Edge con FIPS habilitado pueden comunicarse con los dispositivos NSX Edge que no tienen FIPS habilitado.
Si se implementa un enrutador lógico (distribuido) sin un dispositivo NSX Edge, no se podrá modificar el modo FIPS. El enrutador lógico obtiene automáticamente el mismo modo FIPS que el clúster de NSX Controller. Si el clúster de NSX Controller utiliza NSX 6.3.0 o una versión posterior, estará habilitado el modo FIPS.
Para cambiar el modo FIPS en un enrutador lógico (distribuido) universal en un entorno Cross-vCenter NSX con varios dispositivos NSX Edge implementados en las instancias principal y secundaria de NSX Manager, deberá cambiar el modo FIPS en todos los dispositivos NSX Edge asociados al enrutador lógico (distribuido) universal en el NSX Manager principal..
Si cambia el modo FIPS en un dispositivo NSX Edge con la alta disponibilidad habilitada, se habilitará FIPS en ambos dispositivos y los dispositivos se reiniciarán uno después del otro.
Si desea cambiar el modo FIPS por un Edge independiente, use los comandos fips enable o fips disable. Para obtener más información, consulte la Referencia de la interfaz de línea de comandos de NSX.
Requisitos previos
- Verifique que todas las soluciones de los partners tengan un certificado para el modo FIPS. Consulte la Guía de compatibilidad de VMware en http://www.vmware.com/resources/compatibility/search.php?deviceCategory=security.
- Si actualizó desde una versión anterior de NSX, no habilite el modo FIPS hasta que se complete la actualización a NSX 6.3.0. Consulte más información sobre el modo FIPS y la actualización de NSX en la Guía de actualización de NSX.
- Verifique que NSX Manager tenga NSX 6.3.0 o una versión posterior.
- Verifique que el clúster de NSX Controller tenga NSX 6.3.0 o una versión posterior.
- Verifique que todos los clústeres de host que ejecuten cargas de trabajo de NSX estén preparados con NSX 6.3.0 o una versión posterior.
- Compruebe que todos los dispositivos NSX Edge en los que desea habilitar FIPS tengan la versión 6.3.0 o una versión posterior.
- Verifique que la infraestructura de mensajes tenga el estado VERDE. Use el método de API GET /api/2.0/nwfabric/status?resource={resourceId}, en el que resourceId es el identificador de objetos administrados de vCenter de un host o un clúster. Busque el valor de status correspondiente al featureId de com.vmware.vshield.vsm.messagingInfra en el cuerpo de la respuesta:
<nwFabricFeatureStatus> <featureId>com.vmware.vshield.vsm.messagingInfra</featureId> <updateAvailable>false</updateAvailable> <status>GREEN</status> <installed>true</installed> <enabled>true</enabled> <allowConfiguration>false</allowConfiguration> </nwFabricFeatureStatus>
Procedimiento
Qué hacer a continuación
De forma opcional, Cambiar la configuración de TLS y el modo FIPS en NSX Manager.