Cette rubrique décrit la tâche que vous devez effectuer pour activer le mode FIPS (Federal Information Processing Standards) sur le dispositif vSphere Replication.

Note : Le format du fichier de certificat PKCS#12 n'est pas pris en charge dans la configuration des certificats en mode FIPS. Le format de fichier PKCS#12 utilise des algorithmes non conformes à la norme FIPS comme spécification standard.

Conditions préalables

Assurez-vous d'utiliser des certificats approuvés lors du déploiement de votre environnement.

Procédure

  1. Démarrez vSphere Replication Management Server en mode strict.
    1. Accédez à /opt/vmware/hms/conf/hms-fips.conf, ouvrez le fichier et modifiez le paramètre suivant.
       "appl_system_cryptography" : true
    2. Supprimez tous les magasins BCFKS périmés.
      rm /opt/vmware/hms/security/*.bks
    3. Redémarrez le service vSphere Replication Management Server.
      systemctl restart hms
  2. Démarrez vSphere Replication en mode strict.
    1. Accédez à /etc/vmware/hbrsrv.xml, ouvrez le fichier et modifiez le paramètre suivant.
      <Config>
          <vmacore>
              <ssl>
                  <fips>true</fips>
              </ssl>
          </vmacore>
          </Config>
    2. Modifiez /usr/lib/vmware/lib/ssl/openssl.cnf, annulez la mise en commentaire de la ligne suivante # .include /usr/lib/vmware/lib/ssl/fipsmodule.cnf et remplacez la ligne default_properties = « fips=no" par default_properties = « fips=yes".
      Le fragment de fichier doit ressembler à ce qui suit :
      # Refer to the OpenSSL security policy for more information.
      # In ESX this will be generated at boot time.
      .include /usr/lib/vmware/lib/ssl/fipsmodule.cnf
      ...
      [algorithm_sect]
      # Since we use both default and FIPS provider, we need to be specific
      # about which algorithm implementation to use as default.
      default_properties = "fips=yes"
    3. Redémarrez le service HBR.
      systemctl restart hbrsrv
  3. Démarrez le service dr-configurator en mode strict.
    1. Accédez à /opt/vmware/dr/conf/drconfig.xml, ouvrez le fichier et modifiez le paramètre suivant.
      <Config>
          <vmacore>
              <ssl>
                  <fips>true</fips>
              </ssl>
          </vmacore>
          </Config>
    2. Modifiez /usr/lib/systemd/system/dr-configurator.service. Annulez la mise en commentaire des lignes sous # Uncomment to enable FIPS.
      Le fragment de fichier doit ressembler à ce qui suit :
      # Uncomment to enable FIPS
              Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules
              Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
    3. Redémarrez le service dr-configrator.
      systemctl daemon-reload
             systemctl restart dr-configurator
  4. Connectez-vous au dispositif en tant qu'utilisateur racine et modifiez la ligne de commande du noyau.
    1. Ouvrez /boot/grub/grub.cfg.
    2. Localisez l'entrée menuentry.
    3. Ajoutez ce qui suit à la fin de la ligne dans chaque menuentry qui commence par linux.
      fips=1
    4. Enregistrez le fichier.
  5. Démarrez l'interface utilisateur de configuration en mode strict.
    1. Modifiez /usr/lib/systemd/system/drconfigui.service. Mettez en commentaire la ligne Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' et annulez la mise en commentaire des lignes sous # Uncomment to enable FIPS.
      Le fragment de fichier doit ressembler à ce qui suit :
      Environment=JRE_HOME=/usr/java/jre-vmware
      # Comment when enable FIPS
      # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
      # Uncomment to enable FIPS
      Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
      Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
      
    2. Annulez la mise en commentaire de la balise <Manager> dans le fichier /opt/vmware/drconfigui/conf/context.xml.
      Le fragment de fichier avec la balise doit ressembler à ce qui suit.
      <!-- Uncomment to enable FIPS mode.          -->
      <Manager pathname="" secureRandomAlgorithm=""/>
    3. (Facultatif) Redémarrez le service drconfigui si FIPS est déjà activé pour le dispositif.
      systemctl daemon-reload; systemctl restart drconfigui
  6. Démarrez l'interface utilisateur en mode strict.
    1. Modifiez /usr/lib/systemd/system/dr-client.service. Mettez en commentaire la ligne Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' et annulez la mise en commentaire des lignes sous # Uncomment to enable FIPS.
      Le fragment de fichier doit ressembler à ce qui suit :
      Environment=JRE_HOME=/usr/java/jre-vmware
      # Comment when enable FIPS
      # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
      # Uncomment to enable FIPS
      Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
      Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
      
    2. Annulez la mise en commentaire de la balise <Manager> dans le fichier /opt/vmware/dr-client/conf/context.xml.
      Le fragment de fichier avec la balise doit ressembler à ce qui suit.
      <!-- Uncomment to enable FIPS mode.              -->
      <Manager pathname="" secureRandomAlgorithm=""/>
    3. Modifiez le fichier /opt/vmware/dr-client/lib/h5dr.properties et modifiez les paramètres pour qu'ils pointent vers le keystore et le magasin d'approbations au format BCFKS avec des certificats d'autorité de certification racine.
      La propriété ressemble à ce qui suit.
      drTrustStorePass=<same as keyStorePass>
      drTrustStoreName=h5dr.truststore.bks
      keyStoreName=h5dr.keystore.bks
      Si vous choisissez d'utiliser un magasin d'approbations autre que celui par défaut, vous devez ajouter un lien vers celui-ci dans /opt/vmware/dr-client/lib/ ou /opt/vmware/dr-client/webapps/dr/WEB-INF/classes/. Le format du keystore doit être BCFKS. Pour l'importer à partir du format JKS, utilisez la commande suivante.
      $JAVA_HOME/bin/keytool -importkeystore -srckeystore <path-to-jks-keystore> -srcstoretype JKS -srcstorepass <keystorepass> -destkeystore <path-to-target-bks-keystore> -deststoretype BCFKS -deststorepass <keystorepass> -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/dr-client/lib/ext/bc-fips-1.0.2.3.jar
      Note : Les fichiers de keystore et de magasin d'approbations que vous utilisez doivent disposer de l'autorisation Autres : Lecture. Après la reconfiguration du dispositif, vous devez modifiez de nouveau le fichier /opt/vmware/dr-client/lib/h5dr.properties selon les règles indiquées ci-dessus.
    4. (Facultatif) Redémarrez le service dr-client si FIPS est déjà activé pour le dispositif.
      systemctl daemon-reload; systemctl restart dr-client
  7. Démarrez le plug-in d'interface utilisateur (dr-client-plugin) en mode strict.
    1. Modifiez /usr/lib/systemd/system/dr-client-plugin.service. Mettez en commentaire la ligne Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' et annulez la mise en commentaire des lignes sous # Uncomment to enable FIPS.
      Le fragment de fichier doit ressembler à ce qui suit :
      Environment=JRE_HOME=/usr/java/jre-vmware
      # Comment when enable FIPS
      # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
      # Uncomment to enable FIPS
      Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
      Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
    2. Annulez la mise en commentaire de la balise <Manager> dans le fichier /opt/vmware/dr-client-plugin/conf/context.xml.
      Le fragment de fichier avec la balise doit ressembler à ce qui suit.
      <!-- Uncomment to enable FIPS mode.          -->
      <Manager pathname="" secureRandomAlgorithm=""/>
    3. (Facultatif) Redémarrez le service dr-client-plugin si FIPS est déjà activé pour le dispositif.
      systemctl daemon-reload; systemctl restart dr-client-plugin
  8. Démarrez le service REST API (dr-rest) en mode strict.
    1. Modifiez /usr/lib/systemd/system/dr-rest.service. Mettez en commentaire la ligne Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' et annulez la mise en commentaire des lignes sous # Uncomment to enable FIPS.
      Le fragment de fichier doit ressembler à ce qui suit :
      Environment=JRE_HOME=/usr/java/jre-vmware
      # Comment when enable FIPS
      # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
      # Uncomment to enable FIPS
      Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
      Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
      
    2. Annulez la mise en commentaire de la balise <Manager> dans le fichier /opt/vmware/dr-rest/conf/context.xml.
      Le fragment de fichier avec la balise doit ressembler à ce qui suit.
      <!-- Uncomment to enable FIPS mode.          -->
      <Manager pathname="" secureRandomAlgorithm=""/>
    3. (Facultatif) Redémarrez le service dr-rest si FIPS est déjà activé pour le dispositif.
      systemctl daemon-reload; systemctl restart dr-rest
  9. Redémarrez le dispositif.
    Assurez-vous que la commande systemctl daemon-reload est exécutée au moins une fois après avoir apporté les modifications et avant de redémarrer le dispositif.
    Note : SSHD lit que le noyau a activé le mode FIPS et l'active également. Il n'est pas nécessaire d'apporter des modifications dans la configuration SSHD.

Que faire ensuite

Confirmez que le mode FIPS est activé.