Questo argomento descrive le attività che è necessario eseguire per attivare la modalità FIPS (Federal Information Processing Standard) nell'appliance Site Recovery Manager 9.0.1.
Nota: Il formato di file del certificato
PKCS#12 non è supportato nella configurazione dei certificati in modalità FIPS. Il formato di file
PKCS#12 utilizza algoritmi non conformi a FIPS come specifica standard.
Prerequisiti
Assicurarsi di utilizzare certificati attendibili quando si distribuisce l'ambiente.
Procedura
- Modificare i file di configurazione per i servizi di Site Recovery Manager.
- Passare a /opt/vmware/dr/conf/drconfig.xml, aprire il file e modificare l'impostazione seguente.
<Config> <vmacore> <ssl> <fips>true</fips> </ssl> </vmacore> </Config> - Passare a /opt/vmware/srm/conf/vmware-dr.template.xml, aprire il file e modificare l'impostazione seguente.
<Config> <vmacore> <ssl> <fips>true</fips> </ssl> </vmacore> </Config> - (Facoltativo) Se l'appliance è configurata, modificare il file /opt/vmware/srm/conf/vmware-dr.xml.
<Config> <vmacore> <ssl> <fips>true</fips> </ssl> </vmacore> </Config>
- Passare a /opt/vmware/dr/conf/drconfig.xml, aprire il file e modificare l'impostazione seguente.
- Avviare i servizi di Site Recovery Manager in modalità ristretta.
- Modificare /usr/lib/systemd/system/dr-configurator.service. Rimuovere il commento dalle righe in # Uncomment to enable FIPS.
Il frammento di file deve essere simile al seguente.
# Uncomment to enable FIPS Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
- Modificare /usr/lib/systemd/system/srm-server.service. Rimuovere il commento dalle righe in # Uncomment to enable FIPS.
Il frammento di file deve essere simile al seguente.
# Uncomment to enable FIPS Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
- Riavviare dr-configurator e srm-server. Eseguire i comandi seguenti.
systemctl daemon-reload systemctl restart dr-configurator systemctl restart srm-server
- Modificare /usr/lib/systemd/system/dr-configurator.service. Rimuovere il commento dalle righe in # Uncomment to enable FIPS.
- Accedere all'appliance come utente root e modificare la cmdline del kernel.
- Aprire /boot/grub/grub.cfg.
- Individuare la voce menuentry.
- Aggiungere quanto segue alla fine della riga in ogni voce menuentry che inizia con linux.
fips=1 - Salvare il file.
- Avviare l'interfaccia utente di configurazione in modalità ristretta.
- Modificare /opt/vmware/drconfigui/conf/service.env. Rimuovere il commento dal set di variabili di ambiente FIPS_ENABLED=True.
Il frammento di file deve essere simile al seguente.
# Environment variable to mark is FIPS mode enabled # Uncomment to enable FIPS FIPS_ENABLED=True
- (Facoltativo) Riavviare il servizio drconfigui se la modalità FIPS è già abilitata per l'appliance.
systemctl restart drconfigui
- Modificare /opt/vmware/drconfigui/conf/service.env. Rimuovere il commento dal set di variabili di ambiente FIPS_ENABLED=True.
- Avviare l'interfaccia utente in modalità ristretta.
- Modificare /opt/vmware/dr-client/conf/service.env. Rimuovere il commento dal set di variabili di ambiente FIPS_ENABLED=True.
Il frammento di file deve essere simile al seguente.
# Environment variable to mark is FIPS mode enabled # Uncomment to enable FIPS FIPS_ENABLED=True
- Modificare /opt/vmware/dr-client/lib/h5dr.properties e i parametri in modo che puntino all'archivio chiavi e all'archivio attendibilità in formato BCFKS con certificati CA root.
L'aspetto della proprietà deve essere il seguente.
drTrustStorePass=<same as keyStorePass> drTrustStoreName=h5dr.truststore.bks keyStoreName=h5dr.keystore.bks
- Modificare il file /opt/vmware/dr-client/lib/h5dr.properties e modificare i parametri in modo che puntino all'archivio chiavi in formato BCFKS e all'archivio attendibilità con certificati CA root.
L'aspetto della proprietà deve essere il seguente.
drTrustStorePass=<same as keyStorePass> drTrustStoreName=h5dr.truststore.bks keyStoreName=h5dr.keystore.bks
Se si sceglie di utilizzare un archivio attendibilità diverso da quello predefinito, è necessario aggiungere un collegamento all'archivio attendibilità in /opt/vmware/dr-client/lib/ o /opt/vmware/dr-client/webapps/dr/WEB-INF/classes/. Il formato dell'archivio chiavi deve essere BCFKS. Per importarlo dal formato JKS, utilizzare il comando seguente.$JAVA_HOME/bin/keytool -importkeystore -srckeystore <path-to-jks-keystore> -srcstoretype JKS -srcstorepass <keystorepass> -destkeystore <path-to-target-bks-keystore> -deststoretype BCFKS -deststorepass <keystorepass> -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/dr-client/lib/ext/bc-fips-1.0.2.4.jar
Nota: I file dell'archivio chiavi e dell'archivio attendibilità utilizzati devono disporre dell'autorizzazione Altri: lettura. Dopo aver riconfigurato l'appliance, è necessario modificare nuovamente il file /opt/vmware/dr-client/lib/h5dr.properties in base alle regole precedenti. - (Facoltativo) Riavviare il servizio dr-client se FIPS è già abilitato per l'appliance.
systemctl restart dr-client
- Modificare /opt/vmware/dr-client/conf/service.env. Rimuovere il commento dal set di variabili di ambiente FIPS_ENABLED=True.
- Avviare il plug-in dell'interfaccia utente (dr-client-plugin) in modalità ristretta.
- Modificare /opt/vmware/dr-client-plugin/conf/service.env. Rimuovere il commento dal set di variabili di ambiente FIPS_ENABLED=True.
Il frammento di file deve essere simile al seguente.
# Environment variable to mark is FIPS mode enabled # Uncomment to enable FIPS FIPS_ENABLED=True
- (Facoltativo) Riavviare il servizio dr-client-plugin se FIPS è già abilitato per l'appliance.
systemctl restart dr-client-plugin
- Modificare /opt/vmware/dr-client-plugin/conf/service.env. Rimuovere il commento dal set di variabili di ambiente FIPS_ENABLED=True.
- Avviare il servizio REST API (dr-rest) in modalità ristretta.
- Modificare /opt/vmware/dr-rest/conf/service.env. Rimuovere il commento dal set di variabili di ambiente FIPS_ENABLED=True.
Il frammento di file deve essere simile al seguente.
# Environment variable to mark is FIPS mode enabled # Uncomment to enable FIPS FIPS_ENABLED=True
- Modificare /opt/vmware/dr-rest/lib/dr-rest-api.properties e aggiungere parametri che puntino all'archivio attendibilità in formato BCFKS con certificati CA root.
L'aspetto della proprietà deve essere il seguente.
drTrustStorePass=<same as the keyStorePass of dr-client> drTrustStoreName=dr-rest.truststore.bks
- (Facoltativo) Riavviare il servizio dr-rest se FIPS è già abilitato per l'appliance.
systemctl restart dr-rest
- Modificare /opt/vmware/dr-rest/conf/service.env. Rimuovere il commento dal set di variabili di ambiente FIPS_ENABLED=True.
- Avviare il servizio agente di VMware Live Recovery (dr-dpx-agent) in modalità ristretta.
- Modificare il file /opt/vmware/dr-dpx-agent/conf/service.env.
# Environment variable to mark is FIPS mode enabled # Uncomment to enable FIPS FIPS_ENABLED=True
- Riavviare il servizio
dr-dpx-agentnell'appliance.systemctl restart dr-dpx-agent
- Modificare il file /opt/vmware/dr-dpx-agent/conf/service.env.
- Riavviare l'appliance.
Nota: SSHD leggerà che il kernel ha abilitato la modalità FIPS e la attiverà a sua volta. Non è necessario modificare alcun elemento nella configurazione SSHD.
Operazioni successive
Verificare che la modalità FIPS sia attivata.
