Cette rubrique décrit la tâche que vous devez effectuer pour activer le mode FIPS (Federal Information Processing Standards) sur le dispositif vSphere Replication 9.0.1.

Note : Le format du fichier de certificat PKCS#12 n'est pas pris en charge dans la configuration des certificats en mode FIPS. Le format de fichier PKCS#12 utilise des algorithmes non conformes à la norme FIPS comme spécification standard.

Conditions préalables

Assurez-vous d'utiliser des certificats approuvés lors du déploiement de votre environnement.

Procédure

  1. Démarrez vSphere Replication Management Server en mode strict.
    1. Accédez à /opt/vmware/hms/conf/hms-fips.conf, ouvrez le fichier et modifiez le paramètre suivant.
       "appl_system_cryptography" : true
    2. Supprimez tous les magasins BCFKS périmés.
      rm /opt/vmware/hms/security/*.bks
    3. Redémarrez le service vSphere Replication Management Server.
      systemctl restart hms
  2. Démarrez vSphere Replication en mode strict.
    1. Accédez à /etc/vmware/hbrsrv.xml, ouvrez le fichier et modifiez le paramètre suivant.
      <Config>
          <vmacore>
              <ssl>
                  <fips>true</fips>
              </ssl>
          </vmacore>
          </Config>
    2. Modifiez /usr/lib/vmware/lib/ssl/openssl.cnf, annulez la mise en commentaire de la ligne suivante # .include /usr/lib/vmware/lib/ssl/fipsmodule.cnf et remplacez la ligne default_properties = "fips=no" par default_properties = "fips=yes".
      Le fragment de fichier doit ressembler à ce qui suit :
      # Refer to the OpenSSL security policy for more information.
      # In ESX this will be generated at boot time.
      .include /usr/lib/vmware/lib/ssl/fipsmodule.cnf
      ...
      [algorithm_sect]
      # Since we use both default and FIPS provider, we need to be specific
      # about which algorithm implementation to use as default.
      default_properties = "fips=yes"
    3. Redémarrez le service HBR.
      systemctl restart hbrsrv
  3. Démarrez le service dr-configurator en mode strict.
    1. Accédez à /opt/vmware/dr/conf/drconfig.xml, ouvrez le fichier et modifiez le paramètre suivant.
      <Config>
          <vmacore>
              <ssl>
                  <fips>true</fips>
              </ssl>
          </vmacore>
          </Config>
    2. Modifiez /usr/lib/systemd/system/dr-configurator.service. Annulez la mise en commentaire des lignes sous # Uncomment to enable FIPS.
      Le fragment de fichier doit ressembler à ce qui suit :
      # Uncomment to enable FIPS
              Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules
              Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
    3. Redémarrez le service dr-configrator.
      systemctl daemon-reload
             systemctl restart dr-configurator
  4. Connectez-vous au dispositif en tant qu'utilisateur racine et modifiez la ligne de commande du noyau.
    1. Ouvrez /boot/grub/grub.cfg.
    2. Localisez l'entrée menuentry.
    3. Ajoutez ce qui suit à la fin de la ligne dans chaque menuentry qui commence par linux.
      fips=1
    4. Enregistrez le fichier.
  5. Démarrez l'interface utilisateur de configuration en mode strict.
    1. Modifiez /opt/vmware/drconfigui/conf/service.env. Annulez la mise en commentaire de l'ensemble de variables d'environnement FIPS_ENABLED=True.
      Le fragment de fichier doit ressembler à ce qui suit :
      # Environment variable to mark is FIPS mode enabled
      # Uncomment to enable FIPS
      FIPS_ENABLED=True
      
    2. (Facultatif) Redémarrez le service drconfigui si FIPS est déjà activé pour le dispositif.
      systemctl restart drconfigui
  6. Démarrez l'interface utilisateur en mode strict.
    1. Modifiez /opt/vmware/dr-client/conf/service.env. Annulez la mise en commentaire de l'ensemble de variables d'environnement FIPS_ENABLED=True.
      Le fragment de fichier doit ressembler à ce qui suit :
      # Environment variable to mark is FIPS mode enabled
      # Uncomment to enable FIPS
      FIPS_ENABLED=True
      
    2. Modifiez /opt/vmware/dr-client/lib/h5dr.properties et modifiez les paramètres pour qu'ils pointent vers le keystore et le magasin d'approbations au format BCFKS avec des certificats d'autorité de certification racine.
      La propriété ressemble à ce qui suit.
      drTrustStorePass=<same as keyStorePass>
      drTrustStoreName=h5dr.truststore.bks
      keyStoreName=h5dr.keystore.bks
    3. Modifiez le fichier /opt/vmware/dr-client/lib/h5dr.properties et modifiez les paramètres pour qu'ils pointent vers le keystore et le magasin d'approbations au format BCFKS avec des certificats d'autorité de certification racine.
      La propriété ressemble à ce qui suit.
      drTrustStorePass=<same as keyStorePass>
      drTrustStoreName=h5dr.truststore.bks
      keyStoreName=h5dr.keystore.bks
      Si vous choisissez d'utiliser un magasin d'approbations autre que celui par défaut, vous devez ajouter un lien vers celui-ci dans /opt/vmware/dr-client/lib/ ou /opt/vmware/dr-client/webapps/dr/WEB-INF/classes/. Le format du keystore doit être BCFKS. Pour l'importer à partir du format JKS, utilisez la commande suivante.
      $JAVA_HOME/bin/keytool -importkeystore -srckeystore <path-to-jks-keystore> -srcstoretype JKS -srcstorepass <keystorepass> -destkeystore <path-to-target-bks-keystore> -deststoretype BCFKS -deststorepass <keystorepass> -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/dr-client/lib/ext/bc-fips-1.0.2.4.jar
      
      Note : Les fichiers de keystore et de magasin d'approbations que vous utilisez doivent disposer de l'autorisation Autres : Lecture. Après la reconfiguration du dispositif, vous devez modifiez de nouveau le fichier /opt/vmware/dr-client/lib/h5dr.properties selon les règles indiquées ci-dessus.
    4. (Facultatif) Redémarrez le service dr-client si FIPS est déjà activé pour le dispositif.
      systemctl restart dr-client
  7. Démarrez le plug-in d'interface utilisateur (dr-client-plugin) en mode strict.
    1. Modifiez /opt/vmware/dr-client-plugin/conf/service.env. Annulez la mise en commentaire de l'ensemble de variables d'environnement FIPS_ENABLED=True.
      Le fragment de fichier doit ressembler à ce qui suit :
      # Environment variable to mark is FIPS mode enabled
      # Uncomment to enable FIPS
      FIPS_ENABLED=True
    2. (Facultatif) Redémarrez le service dr-client-plugin si FIPS est déjà activé pour le dispositif.
      systemctl restart dr-client-plugin
  8. Démarrez le service REST API (dr-rest) en mode strict.
    1. Modifiez /opt/vmware/dr-rest/conf/service.env. Annulez la mise en commentaire de l'ensemble de variables d'environnement FIPS_ENABLED=True.
      Le fragment de fichier doit ressembler à ce qui suit :
      # Environment variable to mark is FIPS mode enabled
      # Uncomment to enable FIPS
      FIPS_ENABLED=True
      
    2. Modifiez /opt/vmware/dr-rest/lib/dr-rest-api.properties et ajoutez des paramètres pour qu'ils pointent vers le magasin d'approbations au format BCFKS avec des certificats d'autorité de certification racine.
      La propriété ressemble à ce qui suit.
      drTrustStorePass=<same as the keyStorePass of dr-client>
      drTrustStoreName=dr-rest.truststore.bks
    3. (Facultatif) Redémarrez le service dr-rest si FIPS est déjà activé pour le dispositif.
      systemctl restart dr-rest
  9. Redémarrez le dispositif.
    Assurez-vous que la commande systemctl daemon-reload est exécutée au moins une fois après avoir apporté les modifications et avant de redémarrer le dispositif.
    Note : SSHD lit que le noyau a activé le mode FIPS et l'active également. Il n'est pas nécessaire d'apporter des modifications dans la configuration SSHD.

Que faire ensuite

Confirmez que le mode FIPS est activé.