このトピックでは、vSphere Replication アプライアンスで連邦情報処理標準 (FIPS) モードを有効にするために実行する必要があるタスクの概要を説明します。
注: FIPS モードの証明書構成では、証明書ファイル形式
PKCS#12 はサポートされません。
PKCS#12 のファイル形式では、FIPS に準拠していないアルゴリズムを標準仕様として使用しています。
前提条件
環境をデプロイする際は、信頼できる証明書を使用してください。
手順
- vSphere Replication 管理サーバを厳密モードで起動します。
- /opt/vmware/hms/conf/hms-fips.conf に移動し、ファイルを開き、次の設定を変更します。
"appl_system_cryptography" : true
- 古い BCFKS ストアをすべて削除します。
rm /opt/vmware/hms/security/*.bks
- vSphere Replication 管理サーバ サービスを再起動します。
systemctl restart hms
- /opt/vmware/hms/conf/hms-fips.conf に移動し、ファイルを開き、次の設定を変更します。
- vSphere Replication を厳密モードで起動します。
- /etc/vmware/hbrsrv.xml に移動し、ファイルを開き、次の設定を変更します。
<Config> <vmacore> <ssl> <fips>true</fips> </ssl> </vmacore> </Config>
- /usr/lib/vmware/lib/ssl/openssl.cnf を編集して、
# .include /usr/lib/vmware/lib/ssl/fipsmodule.cnf
の行をコメント解除し、default_properties = "fips=no" を default_properties = "fips=yes" に変更します。ファイルの該当部分は次のようになります。# Refer to the OpenSSL security policy for more information. # In ESX this will be generated at boot time. .include /usr/lib/vmware/lib/ssl/fipsmodule.cnf ... [algorithm_sect] # Since we use both default and FIPS provider, we need to be specific # about which algorithm implementation to use as default. default_properties = "fips=yes"
- HBR サービスを再起動します。
systemctl restart hbrsrv
- /etc/vmware/hbrsrv.xml に移動し、ファイルを開き、次の設定を変更します。
- [dr-configurator] サービスを厳密モードで起動します。
- /opt/vmware/dr/conf/drconfig.xml に移動し、ファイルを開き、次の設定を変更します。
<Config> <vmacore> <ssl> <fips>true</fips> </ssl> </vmacore> </Config>
- /usr/lib/systemd/system/dr-configurator.service を編集します。# Uncomment to enable FIPS の下の行をコメント解除します。
ファイルの該当部分は次のようになります。
# Uncomment to enable FIPS Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
- [dr-configrator] サービスを再起動します。
systemctl daemon-reload systemctl restart dr-configurator
- /opt/vmware/dr/conf/drconfig.xml に移動し、ファイルを開き、次の設定を変更します。
- アプライアンスに root ユーザーとしてログインし、カーネル cmdline を編集します。
- /boot/grub/grub.cfg を開きます。
- [menuentry] エントリを探します。
- 各 [menuentry] 内の [linux] で始まる行の最後に次を追加します。
fips=1
- ファイルを保存します。
- 構成ユーザー インターフェイスを厳密モードで起動します。
- /usr/lib/systemd/system/drconfigui.service を編集します。既存の Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' をコメントアウトし、# Uncomment to enable FIPS の下の行をコメント解除します。
ファイルの該当部分は次のようになります。
Environment=JRE_HOME=/usr/java/jre-vmware # Comment when enable FIPS # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' # Uncomment to enable FIPS Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*' Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
- /opt/vmware/drconfigui/conf/context.xml ファイルの <Manager> タグをコメント解除します。
ファイル内のタグを含む部分は、次にようになります。
<!-- Uncomment to enable FIPS mode. --> <Manager pathname="" secureRandomAlgorithm=""/>
- (オプション) アプライアンスで FIPS がすでに有効になっている場合は、[drconfigui] サービスを再起動します。
systemctl daemon-reload; systemctl restart drconfigui
- /usr/lib/systemd/system/drconfigui.service を編集します。既存の Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' をコメントアウトし、# Uncomment to enable FIPS の下の行をコメント解除します。
- ユーザー インターフェイスを厳密モードで起動します。
- /usr/lib/systemd/system/dr-client.service を編集します。既存の Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' をコメントアウトし、# Uncomment to enable FIPS の下の行をコメント解除します。
ファイルの該当部分は次のようになります。
Environment=JRE_HOME=/usr/java/jre-vmware # Comment when enable FIPS # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' # Uncomment to enable FIPS Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*' Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
- /opt/vmware/dr-client/conf/context.xml ファイルの <Manager> タグをコメント解除します。
ファイル内のタグを含む部分は、次にようになります。
<!-- Uncomment to enable FIPS mode. --> <Manager pathname="" secureRandomAlgorithm=""/>
- /opt/vmware/dr-client/lib/h5dr.properties ファイルを編集して、BCFKS 形式のキーストアと、ルート CA 証明書を含むトラストストアを指すようにパラメータを変更します。
プロパティは次のようになります。
drTrustStorePass=<same as keyStorePass> drTrustStoreName=h5dr.truststore.bks keyStoreName=h5dr.keystore.bks
デフォルト以外のトラストストアを使用する場合は、 /opt/vmware/dr-client/lib/ または /opt/vmware/dr-client/webapps/dr/WEB-INF/classes/ にトラストストアへのリンクを追加する必要があります。キーストアの形式は BCFKS である必要があります。これを JKS 形式からインポートするには、次のコマンドを使用します。$JAVA_HOME/bin/keytool -importkeystore -srckeystore <path-to-jks-keystore> -srcstoretype JKS -srcstorepass <keystorepass> -destkeystore <path-to-target-bks-keystore> -deststoretype BCFKS -deststorepass <keystorepass> -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/dr-client/lib/ext/bc-fips-1.0.2.3.jar
注: 使用するキーストア ファイルとトラストストア ファイルには、 その他:読み取り権限が必要です。アプライアンスを再構成したら、上記のルールに従ってファイル /opt/vmware/dr-client/lib/h5dr.properties を再編集する必要があります。 - (オプション) アプライアンスで FIPS がすでに有効になっている場合は、dr-client サービスを再起動します。
systemctl daemon-reload; systemctl restart dr-client
- /usr/lib/systemd/system/dr-client.service を編集します。既存の Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' をコメントアウトし、# Uncomment to enable FIPS の下の行をコメント解除します。
- ユーザー インターフェイス プラグイン (dr-client-plugin) を厳密モードで起動します。
- /usr/lib/systemd/system/dr-client-plugin.service を編集します。既存の Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' をコメントアウトし、# Uncomment to enable FIPS の下の行をコメント解除します。
ファイルの該当部分は次のようになります。
Environment=JRE_HOME=/usr/java/jre-vmware # Comment when enable FIPS # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' # Uncomment to enable FIPS Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*' Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
- /opt/vmware/dr-client-plugin/conf/context.xml ファイルの <Manager> タグをコメント解除します。
ファイル内のタグを含む部分は、次にようになります。
<!-- Uncomment to enable FIPS mode. --> <Manager pathname="" secureRandomAlgorithm=""/>
- (オプション) アプライアンスで FIPS がすでに有効になっている場合は、dr-client-plugin サービスを再起動します。
systemctl daemon-reload; systemctl restart dr-client-plugin
- /usr/lib/systemd/system/dr-client-plugin.service を編集します。既存の Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' をコメントアウトし、# Uncomment to enable FIPS の下の行をコメント解除します。
- REST API サービス (dr-rest) を厳密モードで起動します。
- /usr/lib/systemd/system/dr-rest.service を編集します。既存の Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' をコメントアウトし、# Uncomment to enable FIPS の下の行をコメント解除します。
ファイルの該当部分は次のようになります。
Environment=JRE_HOME=/usr/java/jre-vmware # Comment when enable FIPS # Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' # Uncomment to enable FIPS Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*' Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
- /opt/vmware/dr-rest/conf/context.xml ファイルの <Manager> タグをコメント解除します。
ファイル内のタグを含む部分は、次にようになります。
<!-- Uncomment to enable FIPS mode. --> <Manager pathname="" secureRandomAlgorithm=""/>
- (オプション) アプライアンスで FIPS がすでに有効になっている場合は、dr-rest サービスを再起動します。
systemctl daemon-reload; systemctl restart dr-rest
- /usr/lib/systemd/system/dr-rest.service を編集します。既存の Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' をコメントアウトし、# Uncomment to enable FIPS の下の行をコメント解除します。
- アプライアンスを再起動します。
変更の実行後、アプライアンスを再起動する前に、
systemctl daemon-reload
コマンドを少なくとも 1 回必ず実行します。注: SSHD は、カーネルが FIPS モードを有効にしていることを確認し、それも有効にします。sshd 構成の内容を編集する必要はありません。
次のタスク
FIPS モードが有効になっていることを検証します。