Activation de FIPS sur le dispositif Site Recovery Manager 9.0

Cette rubrique décrit la tâche que vous devez effectuer pour activer le mode FIPS (Federal Information Processing Standards) sur le dispositif Site Recovery Manager 9.0.

Pour plus d'informations sur l'activation de FIPS sur le dispositif Site Recovery Manager 9.0.1, reportez-vous à la section Activation de FIPS sur le dispositif Site Recovery Manager 9.0.1.

Note : Le format du fichier de certificat PKCS#12 n'est pas pris en charge dans la configuration des certificats en mode FIPS. Le format de fichier PKCS#12 utilise des algorithmes non conformes à la norme FIPS comme spécification standard.

Conditions préalables

Assurez-vous d'utiliser des certificats approuvés lors du déploiement de votre environnement.

Procédure

Modifiez les fichiers de configuration des services Site Recovery Manager.
1. Accédez à /opt/vmware/dr/conf/drconfig.xml, ouvrez le fichier et modifiez le paramètre suivant.
```
<Config>
    <vmacore>
        <ssl>
            <fips>true</fips>
        </ssl>
    </vmacore>
</Config>
```
2. Accédez à /opt/vmware/srm/conf/vmware-dr.template.xml, ouvrez le fichier et modifiez le paramètre suivant.
```
<Config>
    <vmacore>
        <ssl>
            <fips>true</fips>
        </ssl>
    </vmacore>
</Config>
```
3. (Facultatif) Si le dispositif est configuré, modifiez le fichier /opt/vmware/srm/conf/vmware-dr.xml.
```
<Config>
    <vmacore>
        <ssl>
            <fips>true</fips>
        </ssl>
    </vmacore>
</Config>
```
Démarrez les services Site Recovery Manager en mode strict.
1. Modifiez /usr/lib/systemd/system/dr-configurator.service. Annulez la mise en commentaire des lignes sous # Uncomment to enable FIPS.
  Le fragment de fichier doit ressembler à ce qui suit :
```
# Uncomment to enable FIPS
Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules
Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
```
2. Modifiez /usr/lib/systemd/system/srm-server.service. Annulez la mise en commentaire des lignes sous # Uncomment to enable FIPS.
  Le fragment de fichier doit ressembler à ce qui suit :
```
# Uncomment to enable FIPS
Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules
Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
```
3. Redémarrez dr-configurator et srm-server. Exécutez les commandes suivantes.
```
systemctl daemon-reload
systemctl restart dr-configurator
systemctl restart srm-server
```
Connectez-vous au dispositif en tant qu'utilisateur racine et modifiez la ligne de commande du noyau.
1. Ouvrez /boot/grub/grub.cfg.
2. Localisez l'entrée menuentry.
3. Ajoutez ce qui suit à la fin de la ligne dans chaque menuentry qui commence par linux.
  fips=1
4. Enregistrez le fichier.
Démarrez l'interface utilisateur de configuration en mode strict.
1. Modifiez /usr/lib/systemd/system/drconfigui.service. Mettez en commentaire la ligne Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' et annulez la mise en commentaire des lignes sous # Uncomment to enable FIPS.
  Le fragment de fichier doit ressembler à ce qui suit :
```
Environment=JRE_HOME=/usr/java/jre-vmware
# Comment when enable FIPS
# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
# Uncomment to enable FIPS
Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
```
2. Annulez la mise en commentaire de la balise <Manager> dans le fichier /opt/vmware/drconfigui/conf/context.xml.
  Le fragment de fichier avec la balise doit ressembler à ce qui suit.
```

<Manager pathname="" secureRandomAlgorithm=""/>
```
3. (Facultatif) Redémarrez le service drconfigui si FIPS est déjà activé pour le dispositif.
  systemctl daemon-reload; systemctl restart drconfigui
Démarrez l'interface utilisateur en mode strict.
1. Modifiez /usr/lib/systemd/system/dr-client.service. Mettez en commentaire la ligne Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' et annulez la mise en commentaire des lignes sous # Uncomment to enable FIPS.
  Le fragment de fichier doit ressembler à ce qui suit :
```
Environment=JRE_HOME=/usr/java/jre-vmware
# Comment when enable FIPS
# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
# Uncomment to enable FIPS
Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
```
2. Annulez la mise en commentaire de la balise <Manager> dans le fichier /opt/vmware/dr-client/conf/context.xml.
  Le fragment de fichier avec la balise doit ressembler à ce qui suit.
```

<Manager pathname="" secureRandomAlgorithm=""/>
```
3. Modifiez le fichier /opt/vmware/dr-client/lib/h5dr.properties et modifiez les paramètres pour qu'ils pointent vers le keystore et le magasin d'approbations au format BCFKS avec des certificats d'autorité de certification racine.
  La propriété ressemble à ce qui suit.
```
drTrustStorePass=<same as keyStorePass>
drTrustStoreName=h5dr.truststore.bks
keyStoreName=h5dr.keystore.bks
```
  Si vous choisissez d'utiliser un magasin d'approbations autre que celui par défaut, vous devez ajouter un lien vers celui-ci dans /opt/vmware/dr-client/lib/ ou /opt/vmware/dr-client/webapps/dr/WEB-INF/classes/. Le format du keystore doit être BCFKS. Pour l'importer à partir du format JKS, utilisez la commande suivante.
```
$JAVA_HOME/bin/keytool -importkeystore -srckeystore <path-to-jks-keystore> -srcstoretype JKS -srcstorepass <keystorepass> -destkeystore <path-to-target-bks-keystore> -deststoretype BCFKS -deststorepass <keystorepass> -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/dr-client/lib/ext/bc-fips-1.0.2.3.jar
```
  Note : Les fichiers de keystore et de magasin d'approbations que vous utilisez doivent disposer de l'autorisation Autres : Lecture. Après la reconfiguration du dispositif, vous devez modifiez de nouveau le fichier /opt/vmware/dr-client/lib/h5dr.properties selon les règles indiquées ci-dessus.
4. (Facultatif) Redémarrez le service dr-client si FIPS est déjà activé pour le dispositif.
  systemctl daemon-reload; systemctl restart dr-client
Démarrez le plug-in d'interface utilisateur (dr-client-plugin) en mode strict.
1. Modifiez /usr/lib/systemd/system/dr-client-plugin.service. Mettez en commentaire la ligne Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' et annulez la mise en commentaire des lignes sous # Uncomment to enable FIPS.
  Le fragment de fichier doit ressembler à ce qui suit :
```
Environment=JRE_HOME=/usr/java/jre-vmware
# Comment when enable FIPS
# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
# Uncomment to enable FIPS
Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
```
2. Annulez la mise en commentaire de la balise <Manager> dans le fichier /opt/vmware/dr-client-plugin/conf/context.xml.
  Le fragment de fichier avec la balise doit ressembler à ce qui suit.
```

<Manager pathname="" secureRandomAlgorithm=""/>
```
3. (Facultatif) Redémarrez le service dr-client-plugin si FIPS est déjà activé pour le dispositif.
  systemctl daemon-reload; systemctl restart dr-client-plugin
Démarrez le service REST API (dr-rest) en mode strict.
1. Modifiez /usr/lib/systemd/system/dr-rest.service. Mettez en commentaire la ligne Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' et annulez la mise en commentaire des lignes sous # Uncomment to enable FIPS.
  Le fragment de fichier doit ressembler à ce qui suit :
```
Environment=JRE_HOME=/usr/java/jre-vmware
# Comment when enable FIPS
# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
# Uncomment to enable FIPS
Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
```
2. Annulez la mise en commentaire de la balise <Manager> dans le fichier /opt/vmware/dr-rest/conf/context.xml.
  Le fragment de fichier avec la balise doit ressembler à ce qui suit.
```

<Manager pathname="" secureRandomAlgorithm=""/>
```
3. (Facultatif) Redémarrez le service dr-rest si FIPS est déjà activé pour le dispositif.
  systemctl daemon-reload; systemctl restart dr-rest
Démarrez le service de l'agent VMware Live Recovery (dr-dpx-agent) en mode strict.
1. Modifiez le fichier /opt/vmware/dr-dpx-agent/conf/service.env.
```
# Environment variable to mark is FIPS mode enabled
# Uncomment to enable FIPS
FIPS_ENABLED=True
```
2. Redémarrez le service dr-dpx-agent sur le dispositif.
  systemctl restart dr-dpx-agent
Redémarrez le dispositif.
Assurez-vous que la commande systemctl daemon-reload est exécutée au moins une fois après avoir apporté les modifications et avant de redémarrer le dispositif.
Note : SSHD lit que le noyau a activé le mode FIPS et l'active également. Il n'est pas nécessaire d'apporter des modifications dans la configuration SSHD.

Que faire ensuite

Confirmez que le mode FIPS est activé.