可以將 Linux 上的 VMware Cloud Director 設定為使用 FIPS 140-2 驗證的密碼編譯模組,並且在 FIPS 相容模式下執行。

聯邦資訊處理標準 (FIPS) 140-2 是美國和加拿大政府標準,用於指定密碼編譯模組的安全性需求。NIST 密碼編譯模組驗證計劃 (CMVP) 會驗證符合 FIPS 140-2 標準的密碼編譯模組。

VMware Cloud Director FIPS 支援的目的是簡化各種規範環境下的合規性和安全性活動。若要瞭解有關 VMware 產品中的 FIPS 140-2 支援的詳細資訊,請參閱 https://www.vmware.com/security/certifications/fips.html

VMware Cloud Director 中,FIPS 驗證的加密預設為停用狀態。啟用 FIPS 模式後,可以將 VMware Cloud Director 設定為使用 FIPS 140-2 驗證的密碼編譯模組,並且在 FIPS 相容模式下執行。

重要: 啟用 FIPS 模式時,與 vRealize Orchestrator 的整合無法運作。

VMware Cloud Director 使用以下 FIPS 140-2 驗證的密碼編譯模組:

  • VMware BC-FJA (Bouncy Castle FIPS Java API) 版本 1.0.2.3:憑證 #3673 (1.0.2.3 正在接受 NIST 審查。版本 1.0.2.1 已獲核准。根據憑證 #3514,版本 1.0.2.3 的相應 Bouncy Castle FIPS 模組已獲核准)
  • VMware OpenSSL FIPS 物件模組版本 2.0.20-vmw:憑證 #3857

如需在 VMware Cloud Director 應用裝置上啟用 FIPS 模式的相關資訊,請參閱〈在 VMware Cloud Director 應用裝置上啟用或停用 FIPS 模式〉

必要條件

  • 安裝並啟用 rng-tools 公用程式集。請參閱https://wiki.archlinux.org/index.php/Rng-tools
  • 如果已啟用度量收集,請確認 Cassandra 憑證是否遵循 X.509 v3 憑證標準且包括所有必要延伸。必須透過 VMware Cloud Director 使用的相同加密套件來設定 Cassandra。如需允許的 SSL 加密的相關資訊,請參閱〈管理允許的 SSL 加密清單〉
  • 如果您想要使用 SAML 加密,必須為現有組織重新產生其中一個金鑰配對,然後重新交換 SAML 中繼資料。使用 VMware Cloud Director 10.2.x 及更早版本建立的組織具有兩個相同的金鑰配對,您必須重新產生其中一個金鑰配對。使用 VMware Cloud Director10.3 及更新版本建立的組織具有兩個不同的金鑰配對,因此無需重新產生任何金鑰配對。

程序

  1. 從頂部導覽列中,選取管理
  2. 在左面板中的設定下,選取 SSL
  3. 按一下啟用
  4. 確認您的環境符合啟用 FIPS 模式的所有必要條件。
    如果在啟動 FIPS 模式組態前,您的環境未符合所有必要條件,則 VMware Cloud Director 可能會無法存取。
  5. 若要確認您要啟動程序,請按一下啟用
    設定完成後, VMware Cloud Director 會顯示重新啟動雲端儲存格的訊息。
  6. VMware Cloud Director 顯示重新啟動雲端儲存格的訊息後,將在 VMware Cloud Director 伺服器群組中重新啟動每個儲存格。

下一步

  • 按一下停用以停用 FIPS 模式,當 VMware Cloud Director 指示設定準備就緒後,請重新啟動儲存格。
  • 可以使用 fips-mode CMT 命令檢視作用中 VMware Cloud Director 儲存格的 FIPS 狀態。請參閱 VMware Cloud Director 安裝、設定與升級指南》中的〈檢視所有作用中儲存格的 FIPS 狀態〉