En este tema se describe la tarea necesaria que debe realizar para activar el modo de Estándares federales de procesamiento de información (FIPS) en el dispositivo vSphere Replication.

Nota: El formato de archivo de certificado PKCS#12 no se admite en la configuración de certificados en modo FIPS. El formato de archivo PKCS#12 utiliza algoritmos no compatibles con FIPS como especificación estándar.

Requisitos previos

Asegúrese de utilizar certificados de confianza al implementar su entorno.

Procedimiento

  1. Inicie el servidor de administración de vSphere Replication en modo estricto.
    1. Desplácese hasta /opt/vmware/hms/conf/hms-fips.conf, abra el archivo y cambie este ajuste.
       "appl_system_cryptography" : true
    2. Elimine todos los almacenes de BCFKS obsoletos.
      rm /opt/vmware/hms/security/*.bks
    3. Reinicie el servicio de servidor de administración de vSphere Replication.
      systemctl restart hms
  2. Inicie vSphere Replication en modo estricto.
    1. Desplácese hasta /etc/vmware/hbrsrv.xml, abra el archivo y cambie este ajuste.
      <Config>
          <vmacore>
              <ssl>
                  <fips>true</fips>
              </ssl>
          </vmacore>
          </Config>
    2. Edite /usr/lib/vmware/lib/ssl/openssl.cnf, quite la marca de comentario de la siguiente línea # .include /usr/lib/vmware/lib/ssl/fipsmodule.cnf y cambie la línea default_properties = "fips=no" a default_properties = "fips=yes".
      El fragmento de archivo debe tener este aspecto:
      # Refer to the OpenSSL security policy for more information.
      # In ESX this will be generated at boot time.
      .include /usr/lib/vmware/lib/ssl/fipsmodule.cnf
      ...
      [algorithm_sect]
      # Since we use both default and FIPS provider, we need to be specific
      # about which algorithm implementation to use as default.
      default_properties = "fips=yes"
    3. Reinicie el servicio HBR.
      systemctl restart hbrsrv
  3. Inicie el servicio dr-configurator en modo estricto.
    1. Desplácese hasta /opt/vmware/dr/conf/drconfig.xml, abra el archivo y cambie este ajuste.
      <Config>
          <vmacore>
              <ssl>
                  <fips>true</fips>
              </ssl>
          </vmacore>
          </Config>
    2. Edite /usr/lib/systemd/system/dr-configurator.service. Quite los comentarios de las líneas bajo # Uncomment to enable FIPS.
      El fragmento de archivo debe tener este aspecto.
      # Uncomment to enable FIPS
              Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules
              Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
    3. Reinicie el servicio dr-configrator.
      systemctl daemon-reload
             systemctl restart dr-configurator
  4. Inicie sesión en el dispositivo como usuario root y edite la línea de comandos del kernel.
    1. Abra /boot/grub/grub.cfg.
    2. Busque la entrada menuentry.
    3. Anexe lo siguiente al final de la línea de cada menuentry que comienza con linux.
      fips=1
    4. Guarde el archivo.
  5. Inicie la interfaz de usuario de configuración en modo estricto.
    1. Edite /usr/lib/systemd/system/drconfigui.service. Comente el Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' existente y quite los comentarios de las líneas bajo # Uncomment to enable FIPS.
      El fragmento de archivo debe tener este aspecto.
      Environment=JRE_HOME=/usr/java/jre-vmware
      # Comment when enable FIPS
      # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
      # Uncomment to enable FIPS
      Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
      Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
      
    2. Quite la marca de comentario de la etiqueta <Manager> en el archivo /opt/vmware/drconfigui/conf/context.xml.
      El fragmento de archivo con la etiqueta debe tener este aspecto.
      <!-- Uncomment to enable FIPS mode.          -->
      <Manager pathname="" secureRandomAlgorithm=""/>
    3. (opcional) Reinicie el servicio drconfigui si FIPS ya está habilitado para el dispositivo.
      systemctl daemon-reload; systemctl restart drconfigui
  6. Inicie la interfaz de usuario en modo estricto.
    1. Edite /usr/lib/systemd/system/dr-client.service. Comente el Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' existente y quite los comentarios de las líneas bajo # Uncomment to enable FIPS.
      El fragmento de archivo debe tener este aspecto.
      Environment=JRE_HOME=/usr/java/jre-vmware
      # Comment when enable FIPS
      # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
      # Uncomment to enable FIPS
      Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
      Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
      
    2. Quite la marca de comentario de la etiqueta <Manager> en el archivo /opt/vmware/dr-client/conf/context.xml.
      El fragmento de archivo con la etiqueta debe tener este aspecto.
      <!-- Uncomment to enable FIPS mode.              -->
      <Manager pathname="" secureRandomAlgorithm=""/>
    3. Edite el archivo /opt/vmware/dr-client/lib/h5dr.properties y modifique los parámetros para que apunten al almacén de claves de formato BCFKS y al almacén de confianza con certificados de CA raíz.
      La propiedad debe tener este aspecto.
      drTrustStorePass=<same as keyStorePass>
      drTrustStoreName=h5dr.truststore.bks
      keyStoreName=h5dr.keystore.bks
      Si decide utilizar un almacén de confianza distinto al predeterminado, debe agregar un vínculo al almacén de confianza en /opt/vmware/dr-client/lib/ o /opt/vmware/dr-client/webapps/dr/WEB-INF/classes/. El formato del almacén de claves debe ser BCFKS. Para importarlo desde formato JKS, utilice el siguiente comando.
      $JAVA_HOME/bin/keytool -importkeystore -srckeystore <path-to-jks-keystore> -srcstoretype JKS -srcstorepass <keystorepass> -destkeystore <path-to-target-bks-keystore> -deststoretype BCFKS -deststorepass <keystorepass> -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/dr-client/lib/ext/bc-fips-1.0.2.3.jar
      Nota: Los archivos del almacén de claves y del almacén de confianza que utilice deben tener el permiso Otros: lectura. Después de volver a configurar el dispositivo, debe volver a editar el archivo /opt/vmware/dr-client/lib/h5dr.properties según las reglas anteriores.
    4. (opcional) Reinicie el servicio dr-client si FIPS ya está habilitado para el dispositivo.
      systemctl daemon-reload; systemctl restart dr-client
  7. Inicie el complemento de interfaz de usuario (dr-client-plugin) en modo estricto.
    1. Edite /usr/lib/systemd/system/dr-client-plugin.service. Comente el Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' existente y quite los comentarios de las líneas bajo # Uncomment to enable FIPS.
      El fragmento de archivo debe tener este aspecto.
      Environment=JRE_HOME=/usr/java/jre-vmware
      # Comment when enable FIPS
      # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
      # Uncomment to enable FIPS
      Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
      Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
    2. Quite la marca de comentario de la etiqueta <Manager> en el archivo /opt/vmware/dr-client-plugin/conf/context.xml.
      El fragmento de archivo con la etiqueta debe tener este aspecto.
      <!-- Uncomment to enable FIPS mode.          -->
      <Manager pathname="" secureRandomAlgorithm=""/>
    3. (opcional) Reinicie el servicio dr-client-plugin si FIPS ya está habilitado para el dispositivo.
      systemctl daemon-reload; systemctl restart dr-client-plugin
  8. Inicie el servicio de REST API (dr-rest) en modo estricto.
    1. Edite /usr/lib/systemd/system/dr-rest.service. Comente el Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' existente y quite los comentarios de las líneas bajo # Uncomment to enable FIPS.
      El fragmento de archivo debe tener este aspecto.
      Environment=JRE_HOME=/usr/java/jre-vmware
      # Comment when enable FIPS
      # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
      # Uncomment to enable FIPS
      Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
      Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
      
    2. Quite la marca de comentario de la etiqueta <Manager> en el archivo /opt/vmware/dr-rest/conf/context.xml.
      El fragmento de archivo con la etiqueta debe tener este aspecto.
      <!-- Uncomment to enable FIPS mode.          -->
      <Manager pathname="" secureRandomAlgorithm=""/>
    3. (opcional) Reinicie el servicio dr-rest si FIPS ya está habilitado para el dispositivo.
      systemctl daemon-reload; systemctl restart dr-rest
  9. Reinicie el dispositivo.
    Asegúrese de que se ejecute el comando systemctl daemon-reload al menos una vez después de realizar las modificaciones y antes de reiniciar el dispositivo.
    Nota: SSHD leerá que el kernel ha habilitado el modo FIPS y también lo activará. No es necesario editar nada en la configuración de sshd.

Qué hacer a continuación

Valide que el modo FIPS está activado.