Habilitar el modo FIPS activa los conjuntos de claves de cifrado que cumplen con FIPS. Por tanto, cualquier comunicación segura con NSX Edge (entrante o saliente ) utiliza algoritmos o protocolos criptográficos permitidos por FIPS.

Por qué y cuándo se efectúa esta tarea

PRECAUCIÓN:

Cambiar el modo FIPS reinicia el dispositivo NSX Edge, lo que causa la interrupción temporal del tráfico. Esto se aplica independientemente de si se habilita o no la alta disponibilidad.

En función de sus requisitos, puede habilitar FIPS en algunos de sus dispositivos NSX Edge o en todos ellos. Los dispositivos NSX Edge con FIPS habilitado pueden comunicarse con los dispositivos NSX Edge que no tienen FIPS habilitado.

Si se implementa un enrutador lógico (distribuido) sin un dispositivo NSX Edge, no se podrá modificar el modo FIPS. El enrutador lógico obtiene automáticamente el mismo modo FIPS que el clúster de NSX Controller. Si el clúster de NSX Controller utiliza NSX 6.3.0 o una versión posterior, estará habilitado el modo FIPS.

Para cambiar el modo FIPS en un enrutador lógico (distribuido) universal en un entorno Cross-vCenter NSX con varios dispositivos NSX Edge implementados en las instancias principal y secundaria de NSX Manager, deberá cambiar el modo FIPS en todos los dispositivos NSX Edge asociados al enrutador lógico (distribuido) universal.

Si cambia el modo FIPS en un dispositivo NSX Edge con la alta disponibilidad habilitada, se habilitará FIPS en ambos dispositivos y los dispositivos se reiniciarán uno después del otro.

Si desea cambiar el modo FIPS por un Edge independiente, use los comandos fips enable o fips disable. Para obtener más información, consulte la Referencia de la interfaz de línea de comandos de NSX.

Requisitos

  • Verifique que todas las soluciones de los partners tengan un certificado para el modo FIPS. Consulte la Guía de compatibilidad de VMware en http://www.vmware.com/resources/compatibility/search.php?deviceCategory=security.

  • Si actualizó desde una versión anterior de NSX, no habilite el modo FIPS hasta que se complete la actualización a NSX 6.3.0. Consulte más información sobre el modo FIPS y la actualización de NSX en la Guía de actualización de NSX.

  • Verifique que NSX Manager tenga NSX 6.3.0 o una versión posterior.

  • Verifique que el clúster de NSX Controller tenga NSX 6.3.0 o una versión posterior.

  • Verifique que todos los clústeres de host que ejecuten cargas de trabajo de NSX estén preparados con NSX 6.3.0 o una versión posterior.

  • Verifique que todos los dispositivos NSX Edge tengan la versión 6.3.0 o una posterior.

  • Verifique que la infraestructura de mensajes tenga el estado VERDE. Use el método de API GET /api/2.0/nwfabric/status?resource={resourceId}, en el que resourceId es el identificador de objetos administrados de vCenter de un host o un clúster. Busque el valor de status correspondiente al featureId de com.vmware.vshield.vsm.messagingInfra en el cuerpo de la respuesta:

    <nwFabricFeatureStatus>
                <featureId>com.vmware.vshield.vsm.messagingInfra</featureId>
                <updateAvailable>false</updateAvailable>
                <status>GREEN</status>
                <installed>true</installed>
                <enabled>true</enabled>
                <allowConfiguration>false</allowConfiguration>
            </nwFabricFeatureStatus>

Procedimiento

  1. Inicie sesión en vSphere Web Client.
  2. Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSX Edge (NSX Edges).
  3. Seleccione el enrutador o edge requerido, haga clic en Acciones () (Actions) y seleccione Cambiar el modo FIPS (Change FIPS mode).

    Se mostrará el cuadro de diálogo Cambiar modo FIPS (Change FIPS mode).

  4. Seleccione o desmarque la casilla de verificación Habilitar FIPS (Enable FIPS). Haga clic en Aceptar (OK).

    NSX Edge se reinicia y el modo FIPS se habilita.

Qué hacer a continuación

De forma opcional, Cambiar la configuración de TLS y el modo FIPS en NSX Manager.