Cette rubrique décrit la tâche que vous devez effectuer pour activer le mode FIPS (Federal Information Processing Standards) sur le dispositif Site Recovery Manager.

Note : Le format du fichier de certificat PKCS#12 n'est pas pris en charge dans la configuration des certificats en mode FIPS. Le format de fichier PKCS#12 utilise des algorithmes non conformes à la norme FIPS comme spécification standard.

Conditions préalables

Assurez-vous d'utiliser des certificats approuvés lors du déploiement de votre environnement.

Procédure

  1. Modifiez les fichiers de configuration des services Site Recovery Manager.
    1. Accédez à /opt/vmware/dr/conf/drconfig.xml, ouvrez le fichier et modifiez le paramètre suivant. 
      <Config>
    <vmacore>
        <ssl>
            <fips>true</fips>
        </ssl>
    </vmacore>
</Config>
    2. Accédez à /opt/vmware/srm/conf/vmware-dr.template.xml, ouvrez le fichier et modifiez le paramètre suivant. 
      <Config>
    <vmacore>
        <ssl>
            <fips>true</fips>
        </ssl>
    </vmacore>
</Config>
    3. (Facultatif) Si le dispositif est configuré, modifiez le fichier /opt/vmware/srm/conf/vmware-dr.xml. 
      <Config>
    <vmacore>
        <ssl>
            <fips>true</fips>
        </ssl>
    </vmacore>
</Config>
  2. Démarrez les services Site Recovery Manager en mode strict.
    1. Modifiez /usr/lib/systemd/system/dr-configurator.service. Annulez la mise en commentaire des lignes sous # Uncomment to enable FIPS.
      Le fragment de fichier doit ressembler à ce qui suit : 
      # Uncomment to enable FIPS
Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules
Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
    2. Modifiez /usr/lib/systemd/system/srm-server.service. Annulez la mise en commentaire des lignes sous # Uncomment to enable FIPS.
      Le fragment de fichier doit ressembler à ce qui suit : 
      # Uncomment to enable FIPS
Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules
Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
    3. Redémarrez dr-configurator et srm-server. Exécutez les commandes suivantes. 
      systemctl daemon-reload
systemctl restart dr-configurator
systemctl restart srm-server
  3. Connectez-vous au dispositif en tant qu'utilisateur racine et modifiez la ligne de commande du noyau.
    1. Ouvrez /boot/grub/grub.cfg.
    2. Localisez l'entrée menuentry.
    3. Ajoutez ce qui suit à la fin de la ligne dans chaque menuentry qui commence par linux.
      fips=1
    4. Enregistrez le fichier.
  4. Démarrez l'interface utilisateur de configuration en mode strict.
    1. Modifiez /usr/lib/systemd/system/drconfigui.service. Mettez en commentaire la ligne Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' et annulez la mise en commentaire des lignes sous # Uncomment to enable FIPS.
      Le fragment de fichier doit ressembler à ce qui suit : 
      Environment=JRE_HOME=/usr/java/jre-vmware
# Comment when enable FIPS
# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
# Uncomment to enable FIPS
Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
    2. Annulez la mise en commentaire de la balise <Manager> dans le fichier /opt/vmware/drconfigui/conf/context.xml.
      Le fragment de fichier avec la balise doit ressembler à ce qui suit. 
      <!-- Uncomment to enable FIPS mode.          -->
<Manager pathname="" secureRandomAlgorithm=""/>
    3. (Facultatif) Redémarrez le service drconfigui si FIPS est déjà activé pour le dispositif.
      systemctl daemon-reload; systemctl restart drconfigui
  5. Démarrez l'interface utilisateur en mode strict.
    1. Modifiez /usr/lib/systemd/system/dr-client.service. Mettez en commentaire la ligne Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' et annulez la mise en commentaire des lignes sous # Uncomment to enable FIPS.
      Le fragment de fichier doit ressembler à ce qui suit : 
      Environment=JRE_HOME=/usr/java/jre-vmware
# Comment when enable FIPS
# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
# Uncomment to enable FIPS
Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
    2. Annulez la mise en commentaire de la balise <Manager> dans le fichier /opt/vmware/dr-client/conf/context.xml.
      Le fragment de fichier avec la balise doit ressembler à ce qui suit. 
      <!-- Uncomment to enable FIPS mode.              -->
<Manager pathname="" secureRandomAlgorithm=""/>
    3. Modifiez le fichier /opt/vmware/dr-client/lib/h5dr.properties et modifiez les paramètres pour qu'ils pointent vers le keystore et le magasin d'approbations au format BCFKS avec des certificats d'autorité de certification racine.
      La propriété ressemble à ce qui suit. 
      drTrustStorePass=<same as keyStorePass>
drTrustStoreName=h5dr.truststore.bks
keyStoreName=h5dr.keystore.bks
      Si vous choisissez d'utiliser un magasin d'approbations autre que celui par défaut, vous devez ajouter un lien vers celui-ci dans /opt/vmware/dr-client/lib/ ou /opt/vmware/dr-client/webapps/dr/WEB-INF/classes/. Le format du keystore doit être BCFKS. Pour l'importer à partir du format JKS, utilisez la commande suivante. 
      $JAVA_HOME/bin/keytool -importkeystore -srckeystore <path-to-jks-keystore> -srcstoretype JKS -srcstorepass <keystorepass> -destkeystore <path-to-target-bks-keystore> -deststoretype BCFKS -deststorepass <keystorepass> -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/dr-client/lib/ext/bc-fips-1.0.2.3.jar
      Note : Les fichiers de keystore et de magasin d'approbations que vous utilisez doivent disposer de l'autorisation Autres : Lecture. Après la reconfiguration du dispositif, vous devez modifiez de nouveau le fichier /opt/vmware/dr-client/lib/h5dr.properties selon les règles indiquées ci-dessus.
    4. (Facultatif) Redémarrez le service dr-client si FIPS est déjà activé pour le dispositif.
      systemctl daemon-reload; systemctl restart dr-client
  6. Démarrez le plug-in d'interface utilisateur (dr-client-plugin) en mode strict.
    1. Modifiez /usr/lib/systemd/system/dr-client-plugin.service. Mettez en commentaire la ligne Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' et annulez la mise en commentaire des lignes sous # Uncomment to enable FIPS.
      Le fragment de fichier doit ressembler à ce qui suit : 
      Environment=JRE_HOME=/usr/java/jre-vmware
# Comment when enable FIPS
# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
# Uncomment to enable FIPS
Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
    2. Annulez la mise en commentaire de la balise <Manager> dans le fichier /opt/vmware/dr-client-plugin/conf/context.xml.
      Le fragment de fichier avec la balise doit ressembler à ce qui suit. 
      <!-- Uncomment to enable FIPS mode.          -->
<Manager pathname="" secureRandomAlgorithm=""/>
    3. (Facultatif) Redémarrez le service dr-client-plugin si FIPS est déjà activé pour le dispositif.
      systemctl daemon-reload; systemctl restart dr-client-plugin
  7. Démarrez le service REST API (dr-rest) en mode strict.
    1. Modifiez /usr/lib/systemd/system/dr-rest.service. Mettez en commentaire la ligne Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' et annulez la mise en commentaire des lignes sous # Uncomment to enable FIPS.
      Le fragment de fichier doit ressembler à ce qui suit : 
      Environment=JRE_HOME=/usr/java/jre-vmware
# Comment when enable FIPS
# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
# Uncomment to enable FIPS
Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
    2. Annulez la mise en commentaire de la balise <Manager> dans le fichier /opt/vmware/dr-rest/conf/context.xml.
      Le fragment de fichier avec la balise doit ressembler à ce qui suit. 
      <!-- Uncomment to enable FIPS mode.          -->
<Manager pathname="" secureRandomAlgorithm=""/>
    3. (Facultatif) Redémarrez le service dr-rest si FIPS est déjà activé pour le dispositif.
      systemctl daemon-reload; systemctl restart dr-rest
  8. Redémarrez le dispositif.
    Assurez-vous que la commande systemctl daemon-reload est exécutée au moins une fois après avoir apporté les modifications et avant de redémarrer le dispositif.
    Note : SSHD lit que le noyau a activé le mode FIPS et l'active également. Il n'est pas nécessaire d'apporter des modifications dans la configuration SSHD.

Que faire ensuite

Confirmez que le mode FIPS est activé.