En este tema se describe la tarea necesaria que debe realizar para activar el modo de Estándares federales de procesamiento de información (FIPS) en el dispositivo vSphere Replication.
Nota: El formato de archivo de certificado
PKCS#12 no se admite en la configuración de certificados en modo FIPS. El formato de archivo
PKCS#12 utiliza algoritmos no compatibles con FIPS como especificación estándar.
Requisitos previos
Asegúrese de utilizar certificados de confianza al implementar su entorno.
Procedimiento
- Inicie el servidor de administración de vSphere Replication en modo estricto.
- Desplácese hasta /opt/vmware/hms/conf/hms-fips.conf, abra el archivo y cambie este ajuste.
"appl_system_cryptography" : true
- Elimine todos los almacenes de BCFKS obsoletos.
rm /opt/vmware/hms/security/*.bks
- Reinicie el servicio de servidor de administración de vSphere Replication.
systemctl restart hms
- Desplácese hasta /opt/vmware/hms/conf/hms-fips.conf, abra el archivo y cambie este ajuste.
- Inicie vSphere Replication en modo estricto.
- Desplácese hasta /etc/vmware/hbrsrv.xml, abra el archivo y cambie este ajuste.
<Config> <vmacore> <ssl> <fips>true</fips> </ssl> </vmacore> </Config>
- Edite /usr/lib/vmware/lib/ssl/openssl.cnf, quite la marca de comentario de la siguiente línea
# .include /usr/lib/vmware/lib/ssl/fipsmodule.cnf
y cambie la línea default_properties = "fips=no" a default_properties = "fips=yes".El fragmento de archivo debe tener este aspecto:# Refer to the OpenSSL security policy for more information. # In ESX this will be generated at boot time. .include /usr/lib/vmware/lib/ssl/fipsmodule.cnf ... [algorithm_sect] # Since we use both default and FIPS provider, we need to be specific # about which algorithm implementation to use as default. default_properties = "fips=yes"
- Reinicie el servicio HBR.
systemctl restart hbrsrv
- Desplácese hasta /etc/vmware/hbrsrv.xml, abra el archivo y cambie este ajuste.
- Inicie el servicio dr-configurator en modo estricto.
- Desplácese hasta /opt/vmware/dr/conf/drconfig.xml, abra el archivo y cambie este ajuste.
<Config> <vmacore> <ssl> <fips>true</fips> </ssl> </vmacore> </Config>
- Edite /usr/lib/systemd/system/dr-configurator.service. Quite los comentarios de las líneas bajo # Uncomment to enable FIPS.
El fragmento de archivo debe tener este aspecto.
# Uncomment to enable FIPS Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
- Reinicie el servicio dr-configrator.
systemctl daemon-reload systemctl restart dr-configurator
- Desplácese hasta /opt/vmware/dr/conf/drconfig.xml, abra el archivo y cambie este ajuste.
- Inicie sesión en el dispositivo como usuario root y edite la línea de comandos del kernel.
- Abra /boot/grub/grub.cfg.
- Busque la entrada menuentry.
- Anexe lo siguiente al final de la línea de cada menuentry que comienza con linux.
fips=1
- Guarde el archivo.
- Inicie la interfaz de usuario de configuración en modo estricto.
- Edite /usr/lib/systemd/system/drconfigui.service. Comente el Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' existente y quite los comentarios de las líneas bajo # Uncomment to enable FIPS.
El fragmento de archivo debe tener este aspecto.
Environment=JRE_HOME=/usr/java/jre-vmware # Comment when enable FIPS # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' # Uncomment to enable FIPS Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*' Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
- Quite la marca de comentario de la etiqueta <Manager> en el archivo /opt/vmware/drconfigui/conf/context.xml.
El fragmento de archivo con la etiqueta debe tener este aspecto.
<!-- Uncomment to enable FIPS mode. --> <Manager pathname="" secureRandomAlgorithm=""/>
- (opcional) Reinicie el servicio drconfigui si FIPS ya está habilitado para el dispositivo.
systemctl daemon-reload; systemctl restart drconfigui
- Edite /usr/lib/systemd/system/drconfigui.service. Comente el Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' existente y quite los comentarios de las líneas bajo # Uncomment to enable FIPS.
- Inicie la interfaz de usuario en modo estricto.
- Edite /usr/lib/systemd/system/dr-client.service. Comente el Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' existente y quite los comentarios de las líneas bajo # Uncomment to enable FIPS.
El fragmento de archivo debe tener este aspecto.
Environment=JRE_HOME=/usr/java/jre-vmware # Comment when enable FIPS # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' # Uncomment to enable FIPS Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*' Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
- Quite la marca de comentario de la etiqueta <Manager> en el archivo /opt/vmware/dr-client/conf/context.xml.
El fragmento de archivo con la etiqueta debe tener este aspecto.
<!-- Uncomment to enable FIPS mode. --> <Manager pathname="" secureRandomAlgorithm=""/>
- Edite el archivo /opt/vmware/dr-client/lib/h5dr.properties y modifique los parámetros para que apunten al almacén de claves de formato BCFKS y al almacén de confianza con certificados de CA raíz.
La propiedad debe tener este aspecto.
drTrustStorePass=<same as keyStorePass> drTrustStoreName=h5dr.truststore.bks keyStoreName=h5dr.keystore.bks
Si decide utilizar un almacén de confianza distinto al predeterminado, debe agregar un vínculo al almacén de confianza en /opt/vmware/dr-client/lib/ o /opt/vmware/dr-client/webapps/dr/WEB-INF/classes/. El formato del almacén de claves debe ser BCFKS. Para importarlo desde formato JKS, utilice el siguiente comando.$JAVA_HOME/bin/keytool -importkeystore -srckeystore <path-to-jks-keystore> -srcstoretype JKS -srcstorepass <keystorepass> -destkeystore <path-to-target-bks-keystore> -deststoretype BCFKS -deststorepass <keystorepass> -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/dr-client/lib/ext/bc-fips-1.0.2.3.jar
Nota: Los archivos del almacén de claves y del almacén de confianza que utilice deben tener el permiso Otros: lectura. Después de volver a configurar el dispositivo, debe volver a editar el archivo /opt/vmware/dr-client/lib/h5dr.properties según las reglas anteriores. - (opcional) Reinicie el servicio dr-client si FIPS ya está habilitado para el dispositivo.
systemctl daemon-reload; systemctl restart dr-client
- Edite /usr/lib/systemd/system/dr-client.service. Comente el Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' existente y quite los comentarios de las líneas bajo # Uncomment to enable FIPS.
- Inicie el complemento de interfaz de usuario (dr-client-plugin) en modo estricto.
- Edite /usr/lib/systemd/system/dr-client-plugin.service. Comente el Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' existente y quite los comentarios de las líneas bajo # Uncomment to enable FIPS.
El fragmento de archivo debe tener este aspecto.
Environment=JRE_HOME=/usr/java/jre-vmware # Comment when enable FIPS # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' # Uncomment to enable FIPS Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*' Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
- Quite la marca de comentario de la etiqueta <Manager> en el archivo /opt/vmware/dr-client-plugin/conf/context.xml.
El fragmento de archivo con la etiqueta debe tener este aspecto.
<!-- Uncomment to enable FIPS mode. --> <Manager pathname="" secureRandomAlgorithm=""/>
- (opcional) Reinicie el servicio dr-client-plugin si FIPS ya está habilitado para el dispositivo.
systemctl daemon-reload; systemctl restart dr-client-plugin
- Edite /usr/lib/systemd/system/dr-client-plugin.service. Comente el Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' existente y quite los comentarios de las líneas bajo # Uncomment to enable FIPS.
- Inicie el servicio de REST API (dr-rest) en modo estricto.
- Edite /usr/lib/systemd/system/dr-rest.service. Comente el Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' existente y quite los comentarios de las líneas bajo # Uncomment to enable FIPS.
El fragmento de archivo debe tener este aspecto.
Environment=JRE_HOME=/usr/java/jre-vmware # Comment when enable FIPS # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' # Uncomment to enable FIPS Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*' Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
- Quite la marca de comentario de la etiqueta <Manager> en el archivo /opt/vmware/dr-rest/conf/context.xml.
El fragmento de archivo con la etiqueta debe tener este aspecto.
<!-- Uncomment to enable FIPS mode. --> <Manager pathname="" secureRandomAlgorithm=""/>
- (opcional) Reinicie el servicio dr-rest si FIPS ya está habilitado para el dispositivo.
systemctl daemon-reload; systemctl restart dr-rest
- Edite /usr/lib/systemd/system/dr-rest.service. Comente el Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' existente y quite los comentarios de las líneas bajo # Uncomment to enable FIPS.
- Reinicie el dispositivo.
Asegúrese de que se ejecute el comando
systemctl daemon-reload
al menos una vez después de realizar las modificaciones y antes de reiniciar el dispositivo.Nota: SSHD leerá que el kernel ha habilitado el modo FIPS y también lo activará. No es necesario editar nada en la configuración de sshd.
Qué hacer a continuación
Valide que el modo FIPS está activado.