從 10.2.2 版開始,可以將 VMware Cloud Director 應用裝置設定為使用 FIPS 140-2 驗證的密碼編譯模組,並且在 FIPS 相容模式下執行。

聯邦資訊處理標準 (FIPS) 140-2 是美國和加拿大政府標準,用於指定密碼編譯模組的安全性需求。NIST 密碼編譯模組驗證計劃 (CMVP) 會驗證符合 FIPS 140-2 標準的密碼編譯模組。

VMware Cloud Director FIPS 支援的目的是簡化各種規範環境下的合規性和安全性活動。若要瞭解有關 VMware 產品中的 FIPS 140-2 支援的詳細資訊,請參閱 https://www.vmware.com/security/certifications/fips.html

依預設,VMware Cloud Director FIPS 驗證的加密處於停用狀態。啟用 FIPS 模式後,可以將 VMware Cloud Director 設定為使用 FIPS 140-2 驗證的密碼編譯模組,並且在 FIPS 相容模式下執行。

重要: 啟用 FIPS 模式時,與 vRealize Orchestrator 的整合無法運作。

VMware Cloud Director 使用以下 FIPS 140-2 驗證的密碼編譯模組:

  • VMware BC-FJA (Bouncy Castle FIPS Java API) 版本 1.0.2.1:憑證 #3673
  • VMware OpenSSL FIPS 物件模組版本 2.0.20-vmw:憑證 #3857
使用 VMware Cloud Director 應用裝置時,若要將應用裝置設定為在 FIPS 相容模式下執行,則必須同時管理應用裝置 FIPS 模式和儲存格 FIPS 模式。
  • 應用裝置 FIPS 模式是基礎應用裝置作業系統、內嵌式資料庫和各種系統程式庫的模式。
  • 儲存格 FIPS 模式是每個應用裝置上執行的 VMware Cloud Director 儲存格的模式。

有關在 Linux 上的 VMware Cloud Director 中啟用和停用 FIPS 模式的資訊,請參閱〈在伺服器群組中的儲存格上啟用 FIPS 模式〉

必要條件

  • 如果已啟用度量收集,請確認 Cassandra 憑證是否遵循 X.509 v3 憑證標準且包括所有必要延伸。必須透過 VMware Cloud Director 使用的相同加密套件來設定 Cassandra。如需允許的 SSL 加密的相關資訊,請參閱〈管理允許的 SSL 加密清單〉
  • 如果您想要使用 SAML 加密,必須為現有組織重新產生其中一個金鑰配對,然後重新交換 SAML 中繼資料。使用 VMware Cloud Director 10.2.x 及更早版本建立的組織具有兩個相同的金鑰配對,您必須重新產生其中一個金鑰配對。使用 VMware Cloud Director10.3 及更新版本建立的組織具有兩個不同的金鑰配對,因此無需重新產生任何金鑰配對。

程序

  1. Service Provider Admin Portal 的頂部導覽列中,選取管理
  2. 在左面板中的設定下,選取 SSL
  3. 在伺服器群組中的儲存格上啟用或停用 FIPS 模式。
    選項 描述
    啟動
    1. 按一下啟用
    2. 確認系統滿足所有 FIPS 要求,並且您希望啟動此程序,然後按一下啟用
    停用
    1. 按一下停用
    2. 確認您瞭解必須重新啟動儲存格才能停用 FIPS 模式,然後按一下停用

    設定完成後,VMware Cloud Director 會顯示正在啟用 (正在等待儲存格重新啟動)正在停用 (正在等待儲存格重新啟動) 訊息,您可以繼續執行步驟 4。從應用裝置管理使用者介面啟用或停用 FIPS 模式時,VMware Cloud Director 應用裝置會自動重新啟動儲存格。

  4. root 身分登入應用裝置管理使用者介面,網址為:https://appliance_eth1_IP_address:5480
  5. 在左面板中,選取系統組態索引標籤。
  6. 若要開啟或關閉應用裝置 FIPS 模式,請按一下已登入節點的啟用停用按鈕。
    只能對已登入的節點開啟或關閉應用裝置 FIPS 模式。
  7. 確認動作,然後驗證 FIPS 模式是否成功啟用或停用。
  8. 針對每個應用裝置 (例如主要、待命和應用程式類型) 重複步驟 4 至步驟 7。

下一步

若要確認儲存格的狀態,請參閱 檢視 VMware Cloud Director 應用裝置 FIPS 模式