Linux で、FIPS 140-2 認定の暗号化モジュールを使用して FIPS 対応モードで実行するように VMware Cloud Director 10.2.2 以降を構成することができます。

FIPS (Federal Information Processing Standard) 140-2 は、暗号化モジュールのセキュリティ要件を指定する、米国およびカナダの政府規格です。NIST Cryptographic Module Validation Program (CMVP) は、FIPS 140-2 規格に準拠した暗号化モジュールを検証します。

VMware Cloud Director FIPS サポートは、規制の厳しいさまざまな環境でのコンプライアンスとセキュリティのアクティビティを容易にすることを目的としています。VMware 製品における FIPS 140-2 のサポートの詳細については、https://www.vmware.com/security/certifications/fips.htmlを参照してください。

VMware Cloud Director では、FIPS 認定の暗号化はデフォルトで無効になっています。FIPS モードを有効にすることで、FIPS 140-2 認定の暗号化モジュールを使用し、FIPS 準拠モードで実行するように VMware Cloud Director が構成されます。

注: FIPS モードを有効にすると、ホスト名の逆引きも有効になります。
重要: FIPS モードを有効にした場合、 vRealize Orchestrator との統合は動作しません。

VMware Cloud Director 10.2.2 で FIPS モードを有効にした場合は、SAML アサーションを暗号化できません。FIPS モードでない場合は、アサーション暗号化に制限はありません。

VMware Cloud Director は、次の FIPS 140-2 認定の暗号化モジュールを使用します。

  • VMware の BC-FJA (Bouncy Castle FIPS Java API)、バージョン 1.0.2.1: Certificate #3673
  • VMware の OpenSSL FIPS オブジェクト モジュール、バージョン 2.0.20-vmw:Certificate #3857

VMware Cloud Director はセル管理ツール (CMT) に付属のバンドルに含まれています。ただし、セル管理ツールは FIPS に準拠していません。

VMware Cloud Director アプライアンスで FIPS モードを有効にする方法については、VMware Cloud Director アプライアンスでの FIPS モードの有効化または無効化を参照してください。

前提条件

  • 証明書に OpenSSL を使用して KeyCertSign ビットがアサートされていることを確認します。FIPS モードが機能できるのは、VMware Cloud Director SSL 証明書に KeyCertSign がアサートされている場合に限られます。 
    openssl crl2pkcs7 -nocrl -certfile certificates.pem | openssl pkcs7 -print_certs -text -noout
    証明書に拡張機能が含まれていない場合は、SSL 証明書キーストアを作成するときに KeyCertSign ビットを指定します。
  • ユーティリティの rng-tools セットをインストールして、有効にします。https://wiki.archlinux.org/index.php/Rng-toolsを参照してください。
  • メトリックの収集が有効になっている場合は、Cassandra 証明書が X.509 v3 証明書の標準に従っていて、必要なすべての拡張機能が含まれていることを確認します。Cassandra は、VMware Cloud Director が使用するのと同じ暗号化スイートを使用して構成する必要があります。許可された SSL 暗号の詳細については、許可された SSL 暗号のリストの管理を参照してください。
  • VMware Cloud DirectorvCenter Lookup Service から登録解除します。vSphere サービスの構成を参照してください。

手順

  1. 上部ナビゲーション バーで [管理] を選択します。
  2. 左側のパネルの [設定] で、[SSL] を選択します。
  3. [有効化] をクリックします。
  4. 使用環境が FIPS モードを有効にするためのすべての前提条件を満たしていることを確認します。
    FIPS モード構成を開始する前に使用環境がすべての前提条件を満たしていない場合は、 VMware Cloud Director にアクセスできなくなることがあります。
  5. プロセスの開始を確定するには、[有効化] をクリックします。
    構成が完了すると、 VMware Cloud Director にセルを再起動するよう求めるメッセージが表示されます。
  6. VMware Cloud Director にクラウド セルを再起動するよう求めるメッセージが表示されたら、VMware Cloud Director サーバ グループ内のすべてのセルを再起動します。

次のタスク

  • [無効化] をクリックして FIPS モードを無効にします。構成の準備が完了したことが VMware Cloud Director に示されたら、セルを再起動します。
  • fips-mode CMT コマンドを使用して、アクティブな VMware Cloud Director セルの FIPS ステータスを表示します。VMware Cloud Director インストール、構成、およびアップグレード ガイドの「すべてのアクティブ セルの FIPS ステータスの表示」を参照してください。