このトピックでは、Site Recovery Manager 9.0.1 アプライアンスで連邦情報処理標準 (FIPS) モードを有効にするために実行する必要があるタスクの概要を説明します。

注: FIPS モードの証明書構成では、証明書ファイル形式 PKCS#12 はサポートされません。 PKCS#12 のファイル形式では、FIPS に準拠していないアルゴリズムを標準仕様として使用しています。

前提条件

環境をデプロイする際は、信頼できる証明書を使用してください。

手順

  1. Site Recovery Manager サービスの構成ファイルを編集します。
    1. /opt/vmware/dr/conf/drconfig.xml に移動し、ファイルを開き、次の設定を変更します。
      <Config>
          <vmacore>
              <ssl>
                  <fips>true</fips>
              </ssl>
          </vmacore>
      </Config>
    2. /opt/vmware/srm/conf/vmware-dr.template.xml に移動し、ファイルを開き、次の設定を変更します。
      <Config>
          <vmacore>
              <ssl>
                  <fips>true</fips>
              </ssl>
          </vmacore>
      </Config>
    3. (オプション) アプライアンスが構成されている場合は、/opt/vmware/srm/conf/vmware-dr.xml ファイルを編集します。
      <Config>
          <vmacore>
              <ssl>
                  <fips>true</fips>
              </ssl>
          </vmacore>
      </Config>
  2. Site Recovery Manager サービスを厳密モードで起動します。
    1. /usr/lib/systemd/system/dr-configurator.service を編集します。# Uncomment to enable FIPS の下の行をコメント解除します。
      ファイルの該当部分は次のようになります。
      # Uncomment to enable FIPS
      Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules
      Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
    2. /usr/lib/systemd/system/srm-server.service を編集します。# Uncomment to enable FIPS の下の行をコメント解除します。
      ファイルの該当部分は次のようになります。
      # Uncomment to enable FIPS
      Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules
      Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
    3. [dr-configurator] および [srm-server] を再起動します。次のコマンドを実行します。
      systemctl daemon-reload
      systemctl restart dr-configurator
      systemctl restart srm-server
  3. アプライアンスに root ユーザーとしてログインし、カーネル cmdline を編集します。
    1. /boot/grub/grub.cfg を開きます。
    2. [menuentry] エントリを探します。
    3. [menuentry] 内の [linux] で始まる行の最後に次を追加します。
      fips=1
    4. ファイルを保存します。
  4. 構成ユーザー インターフェイスを厳密モードで起動します。
    1. /opt/vmware/drconfigui/conf/service.env を編集します。環境変数セット FIPS_ENABLED=True のコメントを解除します。
      ファイルの該当部分は次のようになります。
      # Environment variable to mark is FIPS mode enabled
      # Uncomment to enable FIPS
      FIPS_ENABLED=True
      
    2. (オプション) アプライアンスで FIPS がすでに有効になっている場合は、drconfigui サービスを再起動します。
      systemctl restart drconfigui
  5. ユーザー インターフェイスを厳密モードで起動します。
    1. /opt/vmware/dr-client/conf/service.env を編集します。環境変数セット FIPS_ENABLED=True のコメントを解除します。
      ファイルの該当部分は次のようになります。
      # Environment variable to mark is FIPS mode enabled
      # Uncomment to enable FIPS
      FIPS_ENABLED=True
      
    2. /opt/vmware/dr-client/lib/h5dr.properties を編集して、BCFKS 形式のキーストアと、ルート CA 証明書を含むトラストストアを指すようにパラメータを変更します。
      プロパティは次のようになります。
      drTrustStorePass=<same as keyStorePass>
      drTrustStoreName=h5dr.truststore.bks
      keyStoreName=h5dr.keystore.bks
    3. /opt/vmware/dr-client/lib/h5dr.properties ファイルを編集して、BCFKS 形式のキーストアと、ルート CA 証明書を含むトラストストアを指すようにパラメータを変更します。
      プロパティは次のようになります。
      drTrustStorePass=<same as keyStorePass>
      drTrustStoreName=h5dr.truststore.bks
      keyStoreName=h5dr.keystore.bks
      デフォルト以外のトラストストアを使用する場合は、 /opt/vmware/dr-client/lib/ または /opt/vmware/dr-client/webapps/dr/WEB-INF/classes/ にトラストストアへのリンクを追加する必要があります。キーストアの形式は BCFKS である必要があります。これを JKS 形式からインポートするには、次のコマンドを使用します。
      $JAVA_HOME/bin/keytool -importkeystore -srckeystore <path-to-jks-keystore> -srcstoretype JKS -srcstorepass <keystorepass> -destkeystore <path-to-target-bks-keystore> -deststoretype BCFKS -deststorepass <keystorepass> -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/dr-client/lib/ext/bc-fips-1.0.2.4.jar
      
      注: 使用するキーストア ファイルとトラストストア ファイルには、 その他:読み取り権限が必要です。アプライアンスを再構成したら、上記のルールに従ってファイル /opt/vmware/dr-client/lib/h5dr.properties を再編集する必要があります。
    4. (オプション) アプライアンスで FIPS がすでに有効になっている場合は、dr-client サービスを再起動します。
      systemctl restart dr-client
  6. ユーザー インターフェイス プラグイン (dr-client-plugin) を厳密モードで起動します。
    1. /opt/vmware/dr-client-plugin/conf/service.env を編集します。環境変数セット FIPS_ENABLED=True のコメントを解除します。
      ファイルの該当部分は次のようになります。
      # Environment variable to mark is FIPS mode enabled
      # Uncomment to enable FIPS
      FIPS_ENABLED=True
    2. (オプション) アプライアンスで FIPS がすでに有効になっている場合は、dr-client-plugin サービスを再起動します。
      systemctl restart dr-client-plugin
  7. REST API サービス (dr-rest) を厳密モードで起動します。
    1. /opt/vmware/dr-rest/conf/service.env を編集します。環境変数セット FIPS_ENABLED=True のコメントを解除します。
      ファイルの該当部分は次のようになります。
      # Environment variable to mark is FIPS mode enabled
      # Uncomment to enable FIPS
      FIPS_ENABLED=True
      
    2. /opt/vmware/dr-rest/lib/dr-rest-api.properties を編集して、ルート CA 証明書を含む、BCFKS 形式のトラストストアを指すパラメータを追加します。
      プロパティは次のようになります。
      drTrustStorePass=<same as the keyStorePass of dr-client>
      drTrustStoreName=dr-rest.truststore.bks
    3. (オプション) アプライアンスで FIPS がすでに有効になっている場合は、dr-rest サービスを再起動します。
      systemctl restart dr-rest
  8. VMware Live Recovery エージェント サービスを厳密モードで開始します。
    1. /Opt/vmware/dr-dpx-agent/conf/service.env ファイルを編集します。
      # Environment variable to mark is FIPS mode enabled
      # Uncomment to enable FIPS
      FIPS_ENABLED=True
    2. アプライアンスで dr-dpx-agent サービスを再起動します。
      systemctl restart dr-dpx-agent
  9. アプライアンスを再起動します。
    注: SSHD は、カーネルが FIPS モードを有効にしていることを確認し、それも有効にします。sshd 構成の内容を編集する必要はありません。

次のタスク

FIPS モードが有効になっていることを検証します。