Come attivare FIPS nell'appliance Site Recovery Manager 9.0

Questo argomento descrive le attività che è necessario eseguire per attivare la modalità FIPS (Federal Information Processing Standard) nell'appliance Site Recovery Manager 9.0.

Per informazioni su come attivare FIPS nell'appliance Site Recovery Manager 9.0.1, vedere Come attivare FIPS nell'appliance Site Recovery Manager 9.0.1.

Nota: Il formato di file del certificato PKCS#12 non è supportato nella configurazione dei certificati in modalità FIPS. Il formato di file PKCS#12 utilizza algoritmi non conformi a FIPS come specifica standard.

Prerequisiti

Assicurarsi di utilizzare certificati attendibili quando si distribuisce l'ambiente.

Procedura

Modificare i file di configurazione per i servizi di Site Recovery Manager.
1. Passare a /opt/vmware/dr/conf/drconfig.xml, aprire il file e modificare l'impostazione seguente.
```
<Config>
    <vmacore>
        <ssl>
            <fips>true</fips>
        </ssl>
    </vmacore>
</Config>
```
2. Passare a /opt/vmware/srm/conf/vmware-dr.template.xml, aprire il file e modificare l'impostazione seguente.
```
<Config>
    <vmacore>
        <ssl>
            <fips>true</fips>
        </ssl>
    </vmacore>
</Config>
```
3. (Facoltativo) Se l'appliance è configurata, modificare il file /opt/vmware/srm/conf/vmware-dr.xml.
```
<Config>
    <vmacore>
        <ssl>
            <fips>true</fips>
        </ssl>
    </vmacore>
</Config>
```
Avviare i servizi di Site Recovery Manager in modalità ristretta.
1. Modificare /usr/lib/systemd/system/dr-configurator.service. Rimuovere il commento dalle righe in # Uncomment to enable FIPS.
  Il frammento di file deve essere simile al seguente.
```
# Uncomment to enable FIPS
Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules
Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
```
2. Modificare /usr/lib/systemd/system/srm-server.service. Rimuovere il commento dalle righe in # Uncomment to enable FIPS.
  Il frammento di file deve essere simile al seguente.
```
# Uncomment to enable FIPS
Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules
Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
```
3. Riavviare dr-configurator e srm-server. Eseguire i comandi seguenti.
```
systemctl daemon-reload
systemctl restart dr-configurator
systemctl restart srm-server
```
Accedere all'appliance come utente root e modificare la cmdline del kernel.
1. Aprire /boot/grub/grub.cfg.
2. Individuare la voce menuentry.
3. Aggiungere quanto segue alla fine della riga in ogni voce menuentry che inizia con linux.
  fips=1
4. Salvare il file.
Avviare l'interfaccia utente di configurazione in modalità ristretta.
1. Modificare /usr/lib/systemd/system/drconfigui.service. Eliminare tramite commento Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' e rimuovere il commento dalle righe in # Uncomment to enable FIPS.
  Il frammento di file deve essere simile al seguente.
```
Environment=JRE_HOME=/usr/java/jre-vmware
# Comment when enable FIPS
# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
# Uncomment to enable FIPS
Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
```
2. Rimuovere il commento dal tag <Manager> nel file /opt/vmware/drconfigui/conf/context.xml.
  Il frammento di file con il tag deve essere simile al seguente.
```

<Manager pathname="" secureRandomAlgorithm=""/>
```
3. (Facoltativo) Riavviare il servizio drconfigui se la modalità FIPS è già abilitata per l'appliance.
  systemctl daemon-reload; systemctl restart drconfigui
Avviare l'interfaccia utente in modalità ristretta.
1. Modificare /usr/lib/systemd/system/dr-client.service. Eliminare tramite commento Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' e rimuovere il commento dalle righe in # Uncomment to enable FIPS.
  Il frammento di file deve essere simile al seguente.
```
Environment=JRE_HOME=/usr/java/jre-vmware
# Comment when enable FIPS
# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
# Uncomment to enable FIPS
Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
```
2. Rimuovere il commento dal tag <Manager> nel file /opt/vmware/dr-client/conf/context.xml.
  Il frammento di file con il tag deve essere simile al seguente.
```

<Manager pathname="" secureRandomAlgorithm=""/>
```
3. Modificare il file /opt/vmware/dr-client/lib/h5dr.properties e modificare i parametri in modo che puntino all'archivio chiavi in formato BCFKS e all'archivio attendibilità con certificati CA root.
  L'aspetto della proprietà deve essere il seguente.
```
drTrustStorePass=<same as keyStorePass>
drTrustStoreName=h5dr.truststore.bks
keyStoreName=h5dr.keystore.bks
```
  Se si sceglie di utilizzare un archivio attendibilità diverso da quello predefinito, è necessario aggiungere un collegamento all'archivio attendibilità in /opt/vmware/dr-client/lib/ o /opt/vmware/dr-client/webapps/dr/WEB-INF/classes/. Il formato dell'archivio chiavi deve essere BCFKS. Per importarlo dal formato JKS, utilizzare il comando seguente.
```
$JAVA_HOME/bin/keytool -importkeystore -srckeystore <path-to-jks-keystore> -srcstoretype JKS -srcstorepass <keystorepass> -destkeystore <path-to-target-bks-keystore> -deststoretype BCFKS -deststorepass <keystorepass> -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/dr-client/lib/ext/bc-fips-1.0.2.3.jar
```
  Nota: I file dell'archivio chiavi e dell'archivio attendibilità utilizzati devono disporre dell'autorizzazione Altri: lettura. Dopo aver riconfigurato l'appliance, è necessario modificare nuovamente il file /opt/vmware/dr-client/lib/h5dr.properties in base alle regole precedenti.
4. (Facoltativo) Riavviare il servizio dr-client se FIPS è già abilitato per l'appliance.
  systemctl daemon-reload; systemctl restart dr-client
Avviare il plug-in dell'interfaccia utente (dr-client-plugin) in modalità ristretta.
1. Modificare /usr/lib/systemd/system/dr-client-plugin.service. Eliminare tramite commento Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' e rimuovere il commento dalle righe in # Uncomment to enable FIPS.
  Il frammento di file deve essere simile al seguente.
```
Environment=JRE_HOME=/usr/java/jre-vmware
# Comment when enable FIPS
# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
# Uncomment to enable FIPS
Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
```
2. Rimuovere il commento dal tag <Manager> nel file /opt/vmware/dr-client-plugin/conf/context.xml.
  Il frammento di file con il tag deve essere simile al seguente.
```

<Manager pathname="" secureRandomAlgorithm=""/>
```
3. (Facoltativo) Riavviare il servizio dr-client-plugin se FIPS è già abilitato per l'appliance.
  systemctl daemon-reload; systemctl restart dr-client-plugin
Avviare il servizio REST API (dr-rest) in modalità ristretta.
1. Modificare /usr/lib/systemd/system/dr-rest.service. Eliminare tramite commento Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' e rimuovere il commento dalle righe in # Uncomment to enable FIPS.
  Il frammento di file deve essere simile al seguente.
```
Environment=JRE_HOME=/usr/java/jre-vmware
# Comment when enable FIPS
# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
# Uncomment to enable FIPS
Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
```
2. Rimuovere il commento dal tag <Manager> nel file /opt/vmware/dr-rest/conf/context.xml.
  Il frammento di file con il tag deve essere simile al seguente.
```

<Manager pathname="" secureRandomAlgorithm=""/>
```
3. (Facoltativo) Riavviare il servizio dr-rest se FIPS è già abilitato per l'appliance.
  systemctl daemon-reload; systemctl restart dr-rest
Avviare il servizio agente di VMware Live Recovery (dr-dpx-agent) in modalità ristretta.
1. Modificare il file /opt/vmware/dr-dpx-agent/conf/service.env.
```
# Environment variable to mark is FIPS mode enabled
# Uncomment to enable FIPS
FIPS_ENABLED=True
```
2. Riavviare il servizio dr-dpx-agent nell'appliance.
  systemctl restart dr-dpx-agent
Riavviare l'appliance.
Assicurarsi che il comando systemctl daemon-reload venga eseguito almeno una volta dopo aver apportato le modifiche e prima di riavviare l'appliance.
Nota: SSHD leggerà che il kernel ha abilitato la modalità FIPS e la attiverà a sua volta. Non è necessario modificare alcun elemento nella configurazione SSHD.

Operazioni successive

Verificare che la modalità FIPS sia attivata.