このトピックでは、Site Recovery Manager アプライアンスで連邦情報処理標準 (FIPS) モードを有効にするために実行する必要があるタスクの概要を説明します。
注: FIPS モードの証明書構成では、証明書ファイル形式
PKCS#12 はサポートされません。
PKCS#12 のファイル形式では、FIPS に準拠していないアルゴリズムを標準仕様として使用しています。
前提条件
環境をデプロイする際は、信頼できる証明書を使用してください。
手順
- Site Recovery Manager サービスの構成ファイルを編集します。
- /opt/vmware/dr/conf/drconfig.xml に移動し、ファイルを開き、次の設定を変更します。
<Config> <vmacore> <ssl> <fips>true</fips> </ssl> </vmacore> </Config> - /opt/vmware/srm/conf/vmware-dr.template.xml に移動し、ファイルを開き、次の設定を変更します。
<Config> <vmacore> <ssl> <fips>true</fips> </ssl> </vmacore> </Config> - (オプション) アプライアンスが構成されている場合は、/opt/vmware/srm/conf/vmware-dr.xml ファイルを編集します。
<Config> <vmacore> <ssl> <fips>true</fips> </ssl> </vmacore> </Config>
- /opt/vmware/dr/conf/drconfig.xml に移動し、ファイルを開き、次の設定を変更します。
- Site Recovery Manager サービスを厳密モードで起動します。
- /usr/lib/systemd/system/dr-configurator.service を編集します。# Uncomment to enable FIPS の下の行をコメント解除します。
ファイルの該当部分は次のようになります。
# Uncomment to enable FIPS Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
- /usr/lib/systemd/system/srm-server.service を編集します。# Uncomment to enable FIPS の下の行をコメント解除します。
ファイルの該当部分は次のようになります。
# Uncomment to enable FIPS Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
- [dr-configurator] および [srm-server] を再起動します。次のコマンドを実行します。
systemctl daemon-reload systemctl restart dr-configurator systemctl restart srm-server
- /usr/lib/systemd/system/dr-configurator.service を編集します。# Uncomment to enable FIPS の下の行をコメント解除します。
- アプライアンスに root ユーザーとしてログインし、カーネル cmdline を編集します。
- /boot/grub/grub.cfg を開きます。
- [menuentry] エントリを探します。
- 各 [menuentry] 内の [linux] で始まる行の最後に次を追加します。
fips=1 - ファイルを保存します。
- 構成ユーザー インターフェイスを厳密モードで起動します。
- /usr/lib/systemd/system/drconfigui.service を編集します。既存の Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' をコメントアウトし、# Uncomment to enable FIPS の下の行をコメント解除します。
ファイルの該当部分は次のようになります。
Environment=JRE_HOME=/usr/java/jre-vmware # Comment when enable FIPS # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' # Uncomment to enable FIPS Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*' Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
- /opt/vmware/drconfigui/conf/context.xml ファイルの <Manager> タグをコメント解除します。
ファイル内のタグを含む部分は、次にようになります。
<!-- Uncomment to enable FIPS mode. --> <Manager pathname="" secureRandomAlgorithm=""/>
- (オプション) アプライアンスで FIPS がすでに有効になっている場合は、drconfigui サービスを再起動します。
systemctl daemon-reload; systemctl restart drconfigui
- /usr/lib/systemd/system/drconfigui.service を編集します。既存の Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' をコメントアウトし、# Uncomment to enable FIPS の下の行をコメント解除します。
- ユーザー インターフェイスを厳密モードで起動します。
- /usr/lib/systemd/system/dr-client.service を編集します。既存の Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' をコメントアウトし、# Uncomment to enable FIPS の下の行をコメント解除します。
ファイルの該当部分は次のようになります。
Environment=JRE_HOME=/usr/java/jre-vmware # Comment when enable FIPS # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' # Uncomment to enable FIPS Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*' Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
- /opt/vmware/dr-client/conf/context.xml ファイルの <Manager> タグをコメント解除します。
ファイル内のタグを含む部分は、次にようになります。
<!-- Uncomment to enable FIPS mode. --> <Manager pathname="" secureRandomAlgorithm=""/>
- /opt/vmware/dr-client/lib/h5dr.properties ファイルを編集して、BCFKS 形式のキーストアと、ルート CA 証明書を含むトラストストアを指すようにパラメータを変更します。
プロパティは次のようになります。
drTrustStorePass=<same as keyStorePass> drTrustStoreName=h5dr.truststore.bks keyStoreName=h5dr.keystore.bks
デフォルト以外のトラストストアを使用する場合は、 /opt/vmware/dr-client/lib/ または /opt/vmware/dr-client/webapps/dr/WEB-INF/classes/ にトラストストアへのリンクを追加する必要があります。キーストアの形式は BCFKS である必要があります。これを JKS 形式からインポートするには、次のコマンドを使用します。$JAVA_HOME/bin/keytool -importkeystore -srckeystore <path-to-jks-keystore> -srcstoretype JKS -srcstorepass <keystorepass> -destkeystore <path-to-target-bks-keystore> -deststoretype BCFKS -deststorepass <keystorepass> -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/dr-client/lib/ext/bc-fips-1.0.2.3.jar
注: 使用するキーストア ファイルとトラストストア ファイルには、 その他:読み取り権限が必要です。アプライアンスを再構成したら、上記のルールに従ってファイル /opt/vmware/dr-client/lib/h5dr.properties を再編集する必要があります。 - (オプション) アプライアンスで FIPS がすでに有効になっている場合は、dr-client サービスを再起動します。
systemctl daemon-reload; systemctl restart dr-client
- /usr/lib/systemd/system/dr-client.service を編集します。既存の Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' をコメントアウトし、# Uncomment to enable FIPS の下の行をコメント解除します。
- ユーザー インターフェイス プラグイン (dr-client-plugin) を厳密モードで起動します。
- /usr/lib/systemd/system/dr-client-plugin.service を編集します。既存の Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' をコメントアウトし、# Uncomment to enable FIPS の下の行をコメント解除します。
ファイルの該当部分は次のようになります。
Environment=JRE_HOME=/usr/java/jre-vmware # Comment when enable FIPS # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' # Uncomment to enable FIPS Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*' Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
- /opt/vmware/dr-client-plugin/conf/context.xml ファイルの <Manager> タグをコメント解除します。
ファイル内のタグを含む部分は、次にようになります。
<!-- Uncomment to enable FIPS mode. --> <Manager pathname="" secureRandomAlgorithm=""/>
- (オプション) アプライアンスで FIPS がすでに有効になっている場合は、dr-client-plugin サービスを再起動します。
systemctl daemon-reload; systemctl restart dr-client-plugin
- /usr/lib/systemd/system/dr-client-plugin.service を編集します。既存の Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' をコメントアウトし、# Uncomment to enable FIPS の下の行をコメント解除します。
- REST API サービス (dr-rest) を厳密モードで起動します。
- /usr/lib/systemd/system/dr-rest.service を編集します。既存の Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' をコメントアウトし、# Uncomment to enable FIPS の下の行をコメント解除します。
ファイルの該当部分は次のようになります。
Environment=JRE_HOME=/usr/java/jre-vmware # Comment when enable FIPS # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' # Uncomment to enable FIPS Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*' Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
- /opt/vmware/dr-rest/conf/context.xml ファイルの <Manager> タグをコメント解除します。
ファイル内のタグを含む部分は、次にようになります。
<!-- Uncomment to enable FIPS mode. --> <Manager pathname="" secureRandomAlgorithm=""/>
- (オプション) アプライアンスで FIPS がすでに有効になっている場合は、dr-rest サービスを再起動します。
systemctl daemon-reload; systemctl restart dr-rest
- /usr/lib/systemd/system/dr-rest.service を編集します。既存の Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' をコメントアウトし、# Uncomment to enable FIPS の下の行をコメント解除します。
- アプライアンスを再起動します。
変更の実行後、アプライアンスを再起動する前に、
systemctl daemon-reloadコマンドを少なくとも 1 回必ず実行します。注: SSHD は、カーネルが FIPS モードを有効にしていることを確認し、それも有効にします。sshd 構成の内容を編集する必要はありません。
次のタスク
FIPS モードが有効になっていることを検証します。
