Aktivieren von FIPS in vSphere Replication (2024)

Table of Contents
Voraussetzungen Prozedur Nächste Maßnahme References

In diesem Thema wird die erforderliche Aufgabe beschrieben, die Sie ausführen müssen, um den FIPS-Modus (Federal Information Processing Standards) auf der vSphere Replication-Appliance zu aktivieren.

Hinweis: Das Zertifikatdateiformat PKCS#12 wird in der Zertifikatkonfiguration im FIPS-Modus nicht unterstützt. Beim Dateiformat PKCS#12 werden Nicht-FIPS-konforme Algorithmen als Standardspezifikation verwendet.

Voraussetzungen

Verwenden Sie bei der Bereitstellung Ihrer Umgebung unbedingt vertrauenswürdige Zertifikate.

Prozedur

  1. Starten Sie den vSphere Replication Management Server im strikten Modus.
    1. Navigieren Sie zu /opt/vmware/hms/conf/hms-fips.conf, öffnen Sie die Datei und ändern Sie die folgende Einstellung. 
       "appl_system_cryptography" : true
    2. Entfernen Sie alle veralteten BCFKS-Speicher. 
      rm /opt/vmware/hms/security/*.bks
    3. Starten Sie den vSphere Replication Management Server-Dienst neu. 
      systemctl restart hms
  2. Starten Sie vSphere Replication im strikten Modus.
    1. Navigieren Sie zu /etc/vmware/hbrsrv.xml, öffnen Sie die Datei und ändern Sie die folgende Einstellung. 
      <Config> <vmacore> <ssl> <fips>true</fips> </ssl> </vmacore> </Config>
    2. Bearbeiten Sie die Datei /usr/lib/vmware/lib/ssl/openssl.cnf, heben Sie die Auskommentierung der Zeile # .include /usr/lib/vmware/lib/ssl/fipsmodule.cnf auf und ändern Sie die Zeile default_properties = "fips=no" in default_properties = "fips=yes".

      Das Dateifragment muss wie folgt aussehen:

      See Also
      Windows FIPS 140 validation - Windows SecurityWhy You Shouldn't Enable "FIPS-compliant" Encryption on WindowsSystem cryptography Use FIPS compliant algorithms for encryption, hashing, and signing - Windows 10Enable Federal Information Process Standard (FIPS) for Azure Kubernetes Service (AKS) node pools - Azure Kubernetes Service

      # Refer to the OpenSSL security policy for more information.# In ESX this will be generated at boot time..include /usr/lib/vmware/lib/ssl/fipsmodule.cnf...[algorithm_sect]# Since we use both default and FIPS provider, we need to be specific# about which algorithm implementation to use as default.default_properties = "fips=yes"
    3. Starten Sie den HBR-Dienst neu. 
      systemctl restart hbrsrv
  3. Starten Sie den Dienst dr-configurator im strikten Modus.
    1. Navigieren Sie zu /opt/vmware/dr/conf/drconfig.xml, öffnen Sie die Datei und ändern Sie die folgende Einstellung. 
      <Config> <vmacore> <ssl> <fips>true</fips> </ssl> </vmacore> </Config>
    2. Bearbeiten Sie /usr/lib/systemd/system/dr-configurator.service. Heben Sie die Auskommentierung der Zeilen unter # Uncomment to enable FIPS auf.

      Das Dateifragment muss wie folgt aussehen. 

      # Uncomment to enable FIPS Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
    3. Starten Sie den Dienst dr-configurator neu. 
      systemctl daemon-reload systemctl restart dr-configurator
  4. Melden Sie sich bei der Appliance als Benutzer root an und bearbeiten Sie die Kernel-Cmdline.
    1. Öffnen Sie /boot/grub/grub.cfg.
    2. Suchen Sie nach dem Eintrag menuentry.
    3. Fügen Sie Folgendes am Ende der Zeilen in jedem menuentry hinzu, der mit linux beginnt.

      fips=1

    4. Speichern Sie die Datei.
  5. Starten Sie die Config-Benutzeroberfläche im strikten Modus.
    1. Bearbeiten Sie /usr/lib/systemd/system/drconfigui.service. Kommentieren Sie die vorhandene Zeile Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' aus und heben Sie die Auskommentierung der Zeilen unter # Uncomment to enable FIPS aus.

      Das Dateifragment muss wie folgt aussehen. 

      Environment=JRE_HOME=/usr/java/jre-vmware# Comment when enable FIPS# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'# Uncomment to enable FIPSEnvironment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
    2. Heben Sie die Auskommentierung des Tags <Manager> in der Datei /opt/vmware/drconfigui/conf/context.xml auf.

      Das Dateifragment mit dem Tag muss wie folgt aussehen. 

      <!-- Uncomment to enable FIPS mode. --><Manager pathname="" secureRandomAlgorithm=""/>
    3. (Optional) Starten Sie den Dienst drconfigui neu, wenn FIPS bereits für die Appliance aktiviert ist.

      systemctl daemon-reload; systemctl restart drconfigui

  6. Starten Sie die Benutzeroberfläche im strikten Modus.
    1. Bearbeiten Sie /usr/lib/systemd/system/dr-client.service. Kommentieren Sie die vorhandene Zeile Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' aus und heben Sie die Auskommentierung der Zeilen unter # Uncomment to enable FIPS aus.

      Das Dateifragment muss wie folgt aussehen. 

      Environment=JRE_HOME=/usr/java/jre-vmware# Comment when enable FIPS# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'# Uncomment to enable FIPSEnvironment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
      See Also
      FIPS-140 Compliance mode for Microsoft Windows OS (and Bitlocker) via Intune or GPO
    2. Heben Sie die Auskommentierung des Tags <Manager> in der Datei /opt/vmware/dr-client/conf/context.xml auf.

      Das Dateifragment mit dem Tag muss wie folgt aussehen. 

      <!-- Uncomment to enable FIPS mode. --><Manager pathname="" secureRandomAlgorithm=""/>
    3. Bearbeiten Sie die Datei /opt/vmware/dr-client/lib/h5dr.properties und ändern Sie die Parameter so, dass sie auf einen Keystore im BCFKS-Format und einen Truststore mit Root-CA-Zertifikaten verweisen.

      Die Eigenschaft muss wie folgt aussehen. 

      drTrustStorePass=<same as keyStorePass>drTrustStoreName=h5dr.truststore.bkskeyStoreName=h5dr.keystore.bks

      Wenn Sie einen anderen Truststore als den Standard-Truststore verwenden möchten, müssen Sie einen Link zum Truststore in /opt/vmware/dr-client/lib/ oder /opt/vmware/dr-client/webapps/dr/WEB-INF/classes/ hinzufügen. Das Keystore-Format muss BCFKS sein. Verwenden Sie den folgenden Befehl für den Import aus dem JKS-Format. 

      $JAVA_HOME/bin/keytool -importkeystore -srckeystore <path-to-jks-keystore> -srcstoretype JKS -srcstorepass <keystorepass> -destkeystore <path-to-target-bks-keystore> -deststoretype BCFKS -deststorepass <keystorepass> -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/dr-client/lib/ext/bc-fips-1.0.2.3.jar

      Hinweis: Die von Ihnen verwendeten Keystore- und Truststore-Dateien müssen über die Berechtigung Andere: Lesen verfügen. Nach der Neukonfiguration der Appliance müssen Sie die Datei /opt/vmware/dr-client/lib/h5dr.properties gemäß den obigen Regeln erneut bearbeiten.

    4. (Optional) Starten Sie den dr-client-Dienst neu, wenn FIPS bereits für die Appliance aktiviert ist.

      systemctl daemon-reload; systemctl restart dr-client

  7. Starten Sie das UI-Plug-In (dr-client-plugin) im strikten Modus.
    1. Bearbeiten Sie /usr/lib/systemd/system/dr-client-plugin.service. Kommentieren Sie die vorhandene Zeile Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' aus und heben Sie die Auskommentierung der Zeilen unter # Uncomment to enable FIPS aus.

      Das Dateifragment muss wie folgt aussehen. 

      Environment=JRE_HOME=/usr/java/jre-vmware# Comment when enable FIPS# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'# Uncomment to enable FIPSEnvironment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
    2. Heben Sie die Auskommentierung des Tags <Manager> in der Datei /opt/vmware/dr-client-plugin/conf/context.xml auf.

      Das Dateifragment mit dem Tag muss wie folgt aussehen. 

      <!-- Uncomment to enable FIPS mode. --><Manager pathname="" secureRandomAlgorithm=""/>
    3. (Optional) Starten Sie den dr-client-plugin-Dienst neu, wenn FIPS bereits für die Appliance aktiviert ist.

      systemctl daemon-reload; systemctl restart dr-client-plugin

  8. Starten Sie den REST API-Dienst (dr-rest) im strikten Modus.
    1. Bearbeiten Sie /usr/lib/systemd/system/dr-rest.service. Kommentieren Sie die vorhandene Zeile Environment='CATALINA_OPTS=-Xms768m -Xmx1024m' aus und heben Sie die Auskommentierung der Zeilen unter # Uncomment to enable FIPS aus.

      Das Dateifragment muss wie folgt aussehen. 

      Environment=JRE_HOME=/usr/java/jre-vmware# Comment when enable FIPS# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'# Uncomment to enable FIPSEnvironment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
    2. Heben Sie die Auskommentierung des Tags <Manager> in der Datei /opt/vmware/dr-rest/conf/context.xml auf.

      Das Dateifragment mit dem Tag muss wie folgt aussehen. 

      <!-- Uncomment to enable FIPS mode. --><Manager pathname="" secureRandomAlgorithm=""/>
    3. (Optional) Starten Sie den dr-rest-Dienst neu, wenn FIPS bereits für die Appliance aktiviert ist.

      systemctl daemon-reload; systemctl restart dr-rest

  9. Starten Sie die Appliance neu.

    Stellen Sie sicher, dass der Befehl systemctl daemon-reload mindestens einmal ausgeführt wird, nachdem Sie die Änderungen vorgenommen haben und bevor Sie die Appliance neu starten.

    Hinweis: SSHD liest, dass der Kernel den FIPS-Modus aktiviert hat, und aktiviert ihn auch. In der SSHD-Konfiguration muss keine Bearbeitung vorgenommen werden.

Nächste Maßnahme

Überprüfen Sie, ob der FIPS-Modus aktiviert ist.

Aktivieren von FIPS in vSphere Replication (2024)

References

Top Articles
Mongolian Beef and Noodle Recipe
Easy Gluten Free Shortbread Cookies—1 Recipe, 5 Varieties
How jiggers were brought to Africa 150 years ago and why we need an apology
How to Remove a Jigger: Uncover the Secrets to Eradicate These Pesky Parasites
Dark Souls Dark Bead
Skylar Vox Bra Size
Pear Shaped Rocsi
Puppies for Sale near Cincinnati, Ohio, USA, Page 1 (10 per page) - Puppyfinder.com
Starfield Taye 20000 Credits
Grizzly Chew Coupon
13 Extraordinary Facts About Madelyn Cline
Madelyn Cline: En omfattende oversigt over skuespilleren
Latest Posts
Easy Crockpot Candied Pecans Recipe {Video}
Keto Sugar Free Ketchup Recipe
Article information

Author: Dr. Pierre Goyette

Last Updated:

Views: 5489

Rating: 5 / 5 (50 voted)

Reviews: 81% of readers found this page helpful

Author information

Name: Dr. Pierre Goyette

Birthday: 1998-01-29

Address: Apt. 611 3357 Yong Plain, West Audra, IL 70053

Phone: +5819954278378

Job: Construction Director

Hobby: Embroidery, Creative writing, Shopping, Driving, Stand-up comedy, Coffee roasting, Scrapbooking

Introduction: My name is Dr. Pierre Goyette, I am a enchanting, powerful, jolly, rich, graceful, colorful, zany person who loves writing and wants to share my knowledge and understanding with you.