Cette rubrique décrit la tâche que vous devez effectuer pour activer le mode FIPS (Federal Information Processing Standards) sur le dispositif Site Recovery Manager 9.0.1.
Note : Le format du fichier de certificat
PKCS#12 n'est pas pris en charge dans la configuration des certificats en mode FIPS. Le format de fichier
PKCS#12 utilise des algorithmes non conformes à la norme FIPS comme spécification standard.
Conditions préalables
Assurez-vous d'utiliser des certificats approuvés lors du déploiement de votre environnement.
Procédure
- Modifiez les fichiers de configuration des services Site Recovery Manager.
- Accédez à /opt/vmware/dr/conf/drconfig.xml, ouvrez le fichier et modifiez le paramètre suivant.
<Config> <vmacore> <ssl> <fips>true</fips> </ssl> </vmacore> </Config> - Accédez à /opt/vmware/srm/conf/vmware-dr.template.xml, ouvrez le fichier et modifiez le paramètre suivant.
<Config> <vmacore> <ssl> <fips>true</fips> </ssl> </vmacore> </Config> - (Facultatif) Si le dispositif est configuré, modifiez le fichier /opt/vmware/srm/conf/vmware-dr.xml.
<Config> <vmacore> <ssl> <fips>true</fips> </ssl> </vmacore> </Config>
- Accédez à /opt/vmware/dr/conf/drconfig.xml, ouvrez le fichier et modifiez le paramètre suivant.
- Démarrez les services Site Recovery Manager en mode strict.
- Modifiez /usr/lib/systemd/system/dr-configurator.service. Annulez la mise en commentaire des lignes sous # Uncomment to enable FIPS.
Le fragment de fichier doit ressembler à ce qui suit :
# Uncomment to enable FIPS Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
- Modifiez /usr/lib/systemd/system/srm-server.service. Annulez la mise en commentaire des lignes sous # Uncomment to enable FIPS.
Le fragment de fichier doit ressembler à ce qui suit :
# Uncomment to enable FIPS Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
- Redémarrez dr-configurator et srm-server. Exécutez les commandes suivantes.
systemctl daemon-reload systemctl restart dr-configurator systemctl restart srm-server
- Modifiez /usr/lib/systemd/system/dr-configurator.service. Annulez la mise en commentaire des lignes sous # Uncomment to enable FIPS.
- Connectez-vous au dispositif en tant qu'utilisateur racine et modifiez la ligne de commande du noyau.
- Ouvrez /boot/grub/grub.cfg.
- Localisez l'entrée menuentry.
- Ajoutez ce qui suit à la fin de la ligne dans chaque menuentry qui commence par linux.
fips=1 - Enregistrez le fichier.
- Démarrez l'interface utilisateur de configuration en mode strict.
- Modifiez /opt/vmware/drconfigui/conf/service.env. Annulez la mise en commentaire de l'ensemble de variables d'environnement FIPS_ENABLED=True.
Le fragment de fichier doit ressembler à ce qui suit :
# Environment variable to mark is FIPS mode enabled # Uncomment to enable FIPS FIPS_ENABLED=True
- (Facultatif) Redémarrez le service drconfigui si FIPS est déjà activé pour le dispositif.
systemctl restart drconfigui
- Modifiez /opt/vmware/drconfigui/conf/service.env. Annulez la mise en commentaire de l'ensemble de variables d'environnement FIPS_ENABLED=True.
- Démarrez l'interface utilisateur en mode strict.
- Modifiez /opt/vmware/dr-client/conf/service.env. Annulez la mise en commentaire de l'ensemble de variables d'environnement FIPS_ENABLED=True.
Le fragment de fichier doit ressembler à ce qui suit :
# Environment variable to mark is FIPS mode enabled # Uncomment to enable FIPS FIPS_ENABLED=True
- Modifiez /opt/vmware/dr-client/lib/h5dr.properties et modifiez les paramètres pour qu'ils pointent vers le keystore et le magasin d'approbations au format BCFKS avec des certificats d'autorité de certification racine.
La propriété ressemble à ce qui suit.
drTrustStorePass=<same as keyStorePass> drTrustStoreName=h5dr.truststore.bks keyStoreName=h5dr.keystore.bks
- Modifiez le fichier /opt/vmware/dr-client/lib/h5dr.properties et modifiez les paramètres pour qu'ils pointent vers le keystore et le magasin d'approbations au format BCFKS avec des certificats d'autorité de certification racine.
La propriété ressemble à ce qui suit.
drTrustStorePass=<same as keyStorePass> drTrustStoreName=h5dr.truststore.bks keyStoreName=h5dr.keystore.bks
Si vous choisissez d'utiliser un magasin d'approbations autre que celui par défaut, vous devez ajouter un lien vers celui-ci dans /opt/vmware/dr-client/lib/ ou /opt/vmware/dr-client/webapps/dr/WEB-INF/classes/. Le format du keystore doit être BCFKS. Pour l'importer à partir du format JKS, utilisez la commande suivante.$JAVA_HOME/bin/keytool -importkeystore -srckeystore <path-to-jks-keystore> -srcstoretype JKS -srcstorepass <keystorepass> -destkeystore <path-to-target-bks-keystore> -deststoretype BCFKS -deststorepass <keystorepass> -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/dr-client/lib/ext/bc-fips-1.0.2.4.jar
Note : Les fichiers de keystore et de magasin d'approbations que vous utilisez doivent disposer de l'autorisation Autres : Lecture. Après la reconfiguration du dispositif, vous devez modifiez de nouveau le fichier /opt/vmware/dr-client/lib/h5dr.properties selon les règles indiquées ci-dessus. - (Facultatif) Redémarrez le service dr-client si FIPS est déjà activé pour le dispositif.
systemctl restart dr-client
- Modifiez /opt/vmware/dr-client/conf/service.env. Annulez la mise en commentaire de l'ensemble de variables d'environnement FIPS_ENABLED=True.
- Démarrez le plug-in d'interface utilisateur (dr-client-plugin) en mode strict.
- Modifiez /opt/vmware/dr-client-plugin/conf/service.env. Annulez la mise en commentaire de l'ensemble de variables d'environnement FIPS_ENABLED=True.
Le fragment de fichier doit ressembler à ce qui suit :
# Environment variable to mark is FIPS mode enabled # Uncomment to enable FIPS FIPS_ENABLED=True
- (Facultatif) Redémarrez le service dr-client-plugin si FIPS est déjà activé pour le dispositif.
systemctl restart dr-client-plugin
- Modifiez /opt/vmware/dr-client-plugin/conf/service.env. Annulez la mise en commentaire de l'ensemble de variables d'environnement FIPS_ENABLED=True.
- Démarrez le service REST API (dr-rest) en mode strict.
- Modifiez /opt/vmware/dr-rest/conf/service.env. Annulez la mise en commentaire de l'ensemble de variables d'environnement FIPS_ENABLED=True.
Le fragment de fichier doit ressembler à ce qui suit :
# Environment variable to mark is FIPS mode enabled # Uncomment to enable FIPS FIPS_ENABLED=True
- Modifiez /opt/vmware/dr-rest/lib/dr-rest-api.properties et ajoutez des paramètres pour qu'ils pointent vers le magasin d'approbations au format BCFKS avec des certificats d'autorité de certification racine.
La propriété ressemble à ce qui suit.
drTrustStorePass=<same as the keyStorePass of dr-client> drTrustStoreName=dr-rest.truststore.bks
- (Facultatif) Redémarrez le service dr-rest si FIPS est déjà activé pour le dispositif.
systemctl restart dr-rest
- Modifiez /opt/vmware/dr-rest/conf/service.env. Annulez la mise en commentaire de l'ensemble de variables d'environnement FIPS_ENABLED=True.
- Démarrez le service de l'agent VMware Live Recovery (dr-dpx-agent) en mode strict.
- Modifiez le fichier /opt/vmware/dr-dpx-agent/conf/service.env.
# Environment variable to mark is FIPS mode enabled # Uncomment to enable FIPS FIPS_ENABLED=True
- Redémarrez le service
dr-dpx-agentsur le dispositif.systemctl restart dr-dpx-agent
- Modifiez le fichier /opt/vmware/dr-dpx-agent/conf/service.env.
- Redémarrez le dispositif.
Note : SSHD lit que le noyau a activé le mode FIPS et l'active également. Il n'est pas nécessaire d'apporter des modifications dans la configuration SSHD.
Que faire ensuite
Confirmez que le mode FIPS est activé.
