如何在 Site Recovery Manager 應用裝置上啟用 FIPS

本主題概述了在 Site Recovery Manager 應用裝置上啟用聯邦資訊處理標準 (FIPS) 模式必須執行的必要工作。

備註： FIPS 模式下的憑證組態不支援憑證檔案格式 PKCS#12。 PKCS#12 檔案格式使用不符合 FIPS 標準的演算法作為標準規格。

必要條件

確保在部署環境時使用受信任的憑證。

程序

編輯 Site Recovery Manager 服務的組態檔。

導覽至 /opt/vmware/dr/conf/drconfig.xml，開啟檔案並變更以下設定。

<Config>
    <vmacore>
        <ssl>
            <fips>true</fips>
        </ssl>
    </vmacore>
</Config>

導覽至 /opt/vmware/srm/conf/vmware-dr.template.xml，開啟檔案並變更以下設定。

<Config>
    <vmacore>
        <ssl>
            <fips>true</fips>
        </ssl>
    </vmacore>
</Config>

(選擇性) 如果已設定應用裝置，則編輯 /opt/vmware/srm/conf/vmware-dr.xml 檔案。

<Config>
    <vmacore>
        <ssl>
            <fips>true</fips>
        </ssl>
    </vmacore>
</Config>

以嚴格模式啟動 Site Recovery Manager 服務。
1. 編輯 /usr/lib/systemd/system/dr-configurator.service。取消 # Uncomment to enable FIPS 下各行的註解。
  檔案片段必須如下所示。
```
# Uncomment to enable FIPS
Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules
Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
```
2. 編輯 /usr/lib/systemd/system/srm-server.service。取消 # Uncomment to enable FIPS 下各行的註解。
  檔案片段必須如下所示。
```
# Uncomment to enable FIPS
Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules
Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
```
3. 重新啟動 dr-configurator 和 srm-server。執行下列命令。
```
systemctl daemon-reload
systemctl restart dr-configurator
systemctl restart srm-server
```
以 root 使用者身分登入應用裝置，然後編輯核心 cmdline。
1. 開啟 /boot/grub/grub.cfg。
2. 找到 menuentry 項目。
3. 在每個以 linux 開頭的 menuentry 的行末附加以下內容。
  fips=1
4. 儲存檔案。

以嚴格模式啟動 Config UI。

編輯 /usr/lib/systemd/system/drconfigui.service。註解掉現有 Environment='CATALINA_OPTS=-Xms768m -Xmx1024m’ 並取消 # Uncomment to enable FIPS 下各行的註解。

檔案片段必須如下所示。

Environment=JRE_HOME=/usr/java/jre-vmware
# Comment when enable FIPS
# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
# Uncomment to enable FIPS
Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'

取消 /opt/vmware/drconfigui/conf/context.xml 檔案中 <Manager> 標籤的註解。
帶有標籤的檔案片段必須如下所示。
```

<Manager pathname="" secureRandomAlgorithm=""/>
```
(選擇性) 如果已為應用裝置啟用 FIPS，請重新啟動 drconfigui 服務。
systemctl daemon-reload; systemctl restart drconfigui

以嚴格模式啟動 UI。
1. 編輯 /usr/lib/systemd/system/dr-client.service。註解掉現有 Environment='CATALINA_OPTS=-Xms768m -Xmx1024m’ 並取消 # Uncomment to enable FIPS 下各行的註解。
  檔案片段必須如下所示。
```
Environment=JRE_HOME=/usr/java/jre-vmware
# Comment when enable FIPS
# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
# Uncomment to enable FIPS
Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
```
2. 取消 /opt/vmware/dr-client/conf/context.xml 檔案中 <Manager> 標籤的註解。
  帶有標籤的檔案片段必須如下所示。
```

<Manager pathname="" secureRandomAlgorithm=""/>
```
3. 編輯 /opt/vmware/dr-client/lib/h5dr.properties 檔案，並修改參數以指向 BCFKS 格式的金鑰儲存區和具有根 CA 憑證的信任存放區。
  內容必須如下所示。
```
drTrustStorePass=<same as keyStorePass>
drTrustStoreName=h5dr.truststore.bks
keyStoreName=h5dr.keystore.bks
```
  如果選擇使用預設信任存放區以外的其他信任存放區，則必須在 /opt/vmware/dr-client/lib/ 或 /opt/vmware/dr-client/webapps/dr/WEB-INF/classes/ 中新增信任存放區的連結。金鑰儲存區格式必須為 BCFKS。若要從 JKS 格式匯入該檔案，請使用以下命令。
```
$JAVA_HOME/bin/keytool -importkeystore -srckeystore <path-to-jks-keystore> -srcstoretype JKS -srcstorepass <keystorepass> -destkeystore <path-to-target-bks-keystore> -deststoretype BCFKS -deststorepass <keystorepass> -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/dr-client/lib/ext/bc-fips-1.0.2.3.jar
```
  備註：使用的金鑰儲存區和信任存放區檔案必須具有其他：讀取權限。重新設定應用裝置後，必須根據上述規則重新編輯檔案 /opt/vmware/dr-client/lib/h5dr.properties。
4. (選擇性) 如果已為應用裝置啟用 FIPS，請重新啟動 dr-client 服務。
  systemctl daemon-reload; systemctl restart dr-client
以嚴格模式啟用 UI 外掛程式 (dr-client-plugin)。
1. 編輯 /usr/lib/systemd/system/dr-client-plugin.service。註解掉現有 Environment='CATALINA_OPTS=-Xms768m -Xmx1024m’ 並取消 # Uncomment to enable FIPS 下各行的註解。
  檔案片段必須如下所示。
```
Environment=JRE_HOME=/usr/java/jre-vmware
# Comment when enable FIPS
# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
# Uncomment to enable FIPS
Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
```
2. 取消 /opt/vmware/dr-client-plugin/conf/context.xml 檔案中 <Manager> 標籤的註解。
  帶有標籤的檔案片段必須如下所示。
```

<Manager pathname="" secureRandomAlgorithm=""/>
```
3. (選擇性) 如果已為應用裝置啟用 FIPS，請重新啟動 dr-client-plugin 服務。
  systemctl daemon-reload; systemctl restart dr-client-plugin

以嚴格模式啟動 REST API 服務 (dr-rest)。

編輯 /usr/lib/systemd/system/dr-rest.service。註解掉現有 Environment='CATALINA_OPTS=-Xms768m -Xmx1024m’ 並取消 # Uncomment to enable FIPS 下各行的註解。

檔案片段必須如下所示。

Environment=JRE_HOME=/usr/java/jre-vmware
# Comment when enable FIPS
# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
# Uncomment to enable FIPS
Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'

取消 /opt/vmware/dr-rest/conf/context.xml 檔案中 <Manager> 標籤的註解。
帶有標籤的檔案片段必須如下所示。
```

<Manager pathname="" secureRandomAlgorithm=""/>
```
(選擇性) 如果已為應用裝置啟用 FIPS，請重新啟動 dr-rest 服務。
systemctl daemon-reload; systemctl restart dr-rest

將應用裝置重新開機。
確保在修改後和應用裝置重新開機之前至少執行一次 systemctl daemon-reload 命令。
備註： SSHD 將顯示核心已啟用 FIPS 模式，並也將啟用該模式。無需在 sshd 組態中編輯任何內容。

下一步

驗證 FIPS 模式是否已啟用。