VMware Site Recovery Manager 8.8

8.8 8.7 8.6
简体中文 Deutsch Español Français Italiano 日本語 한국어 繁體中文 English

Site Recovery Manager
 アプライアンスで FIPS を有効にする方法

このトピックでは、
Site Recovery Manager
 アプライアンスで連邦情報処理標準 (FIPS) モードを有効にするために実行する必要があるタスクの概要を説明します。
環境をデプロイする際は、信頼できる証明書を使用してください。
FIPS モードの証明書構成では、証明書ファイル形式
PKCS#12
 はサポートされません。
PKCS#12
 のファイル形式では、FIPS に準拠していないアルゴリズムを標準仕様として使用しています。
  1. Site Recovery Manager
     サービスの構成ファイルを編集します。
    1. /opt/vmware/dr/conf/drconfig.xml
       に移動し、ファイルを開き、次の設定を変更します。
      <Config>
    <vmacore>
        <ssl>
            <fips>true</fips>
        </ssl>
    </vmacore>
</Config>
    2. /opt/vmware/srm/conf/vmware-dr.template.xml
       に移動し、ファイルを開き、次の設定を変更します。
      <Config>
    <vmacore>
        <ssl>
            <fips>true</fips>
        </ssl>
    </vmacore>
</Config>
    3. アプライアンスが構成されている場合は、
      /opt/vmware/srm/conf/vmware-dr.xml
       ファイルを編集します。
      <Config>
    <vmacore>
        <ssl>
            <fips>true</fips>
        </ssl>
    </vmacore>
</Config>
  2. Site Recovery Manager
     サービスを厳密モードで起動します。
    1. /usr/lib/systemd/system/dr-configurator.service
       を編集します。
      # Uncomment to enable FIPS
       の下の行をコメント解除します。
      ファイルの該当部分は次のようになります。
      # Uncomment to enable FIPS
Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules
Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
    2. /usr/lib/systemd/system/srm-server.service
       を編集します。
      # Uncomment to enable FIPS
       の下の行をコメント解除します。
      ファイルの該当部分は次のようになります。
      # Uncomment to enable FIPS
Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules
Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
    3. dr-configurator
       および
      srm-server
       を再起動します。次のコマンドを実行します。
      systemctl daemon-reload
systemctl restart dr-configurator
systemctl restart srm-server
  3. アプライアンスに
    root
     ユーザーとしてログインし、カーネル cmdline を編集します。
    1. /boot/grub/grub.cfg
       を開きます。
    2. menuentry
       エントリを探します。
    3. menuentry
       内の
      linux
       で始まる行の最後に次を追加します。
      fips=1
    4. ファイルを保存します。
  4. 構成ユーザー インターフェイスを厳密モードで起動します。
    1. /usr/lib/systemd/system/drconfigui.service
       を編集します。既存の
      Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
       をコメントアウトし、
      # Uncomment to enable FIPS
       の下の行をコメント解除します。
      ファイルの該当部分は次のようになります。
      Environment=JRE_HOME=/usr/java/jre-vmware
# Comment when enable FIPS
# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
# Uncomment to enable FIPS
Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
    2. /opt/vmware/drconfigui/conf/context.xml
       ファイルの
      <Manager>
       タグをコメント解除します。
      ファイル内のタグを含む部分は、次にようになります。 
      <!-- Uncomment to enable FIPS mode.          -->
<Manager pathname="" secureRandomAlgorithm=""/>
    3. アプライアンスで FIPS がすでに有効になっている場合は、drconfigui サービスを再起動します。
      systemctl daemon-reload; systemctl restart drconfigui
  5. ユーザー インターフェイスを厳密モードで起動します。
    1. /usr/lib/systemd/system/dr-client.service
       を編集します。既存の
      Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
       をコメントアウトし、
      # Uncomment to enable FIPS
       の下の行をコメント解除します。
      ファイルの該当部分は次のようになります。
      Environment=JRE_HOME=/usr/java/jre-vmware
# Comment when enable FIPS
# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
# Uncomment to enable FIPS
Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
    2. /opt/vmware/dr-client/conf/context.xml
       ファイルの
      <Manager>
       タグをコメント解除します。
      ファイル内のタグを含む部分は、次にようになります。 
      <!-- Uncomment to enable FIPS mode.              -->
<Manager pathname="" secureRandomAlgorithm=""/>
    3. /opt/vmware/dr-client/lib/h5dr.properties
       ファイルを編集して、BCFKS 形式のキーストアと、ルート CA 証明書を含むトラストストアを指すようにパラメータを変更します。
      プロパティは次のようになります。 
      drTrustStorePass=<same as keyStorePass>
drTrustStoreName=h5dr.truststore.bks
keyStoreName=h5dr.keystore.bks
      デフォルト以外のトラストストアを使用する場合は、
      /opt/vmware/dr-client/lib/
       または
      /opt/vmware/dr-client/webapps/dr/WEB-INF/classes/
       にトラストストアへのリンクを追加する必要があります。キーストアの形式は BCFKS である必要があります。これを JKS 形式からインポートするには、次のコマンドを使用します。 
      $JAVA_HOME/bin/keytool -importkeystore -srckeystore <path-to-jks-keystore> -srcstoretype JKS -srcstorepass <keystorepass> -destkeystore <path-to-target-bks-keystore> -deststoretype BCFKS -deststorepass <keystorepass> -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/dr-client/lib/ext/bc-fips-1.0.2.3.jar
      使用するキーストア ファイルとトラストストア ファイルには、
      その他:読み取り
      権限が必要です。アプライアンスを再構成したら、上記のルールに従ってファイル
      /opt/vmware/dr-client/lib/h5dr.properties
       を再編集する必要があります。
    4. アプライアンスで FIPS がすでに有効になっている場合は、dr-client サービスを再起動します。
      systemctl daemon-reload; systemctl restart dr-client
  6. ユーザー インターフェイス プラグイン (dr-client-plugin) を厳密モードで起動します。
    1. /usr/lib/systemd/system/dr-client-plugin.service
       を編集します。既存の
      Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
       をコメントアウトし、
      # Uncomment to enable FIPS
       の下の行をコメント解除します。
      ファイルの該当部分は次のようになります。
      Environment=JRE_HOME=/usr/java/jre-vmware
# Comment when enable FIPS
# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
# Uncomment to enable FIPS
Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
    2. /opt/vmware/dr-client-plugin/conf/context.xml
       ファイルの
      <Manager>
       タグをコメント解除します。
      ファイル内のタグを含む部分は、次にようになります。 
      <!-- Uncomment to enable FIPS mode.          -->
<Manager pathname="" secureRandomAlgorithm=""/>
    3. アプライアンスで FIPS がすでに有効になっている場合は、dr-client-plugin サービスを再起動します。
      systemctl daemon-reload; systemctl restart dr-client-plugin
  7. REST API サービス (dr-rest) を厳密モードで起動します。
    1. /usr/lib/systemd/system/dr-rest.service
       を編集します。既存の
      Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
       をコメントアウトし、
      # Uncomment to enable FIPS
       の下の行をコメント解除します。
      ファイルの該当部分は次のようになります。 
      Environment=JRE_HOME=/usr/java/jre-vmware
# Comment when enable FIPS
# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
# Uncomment to enable FIPS
Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
    2. /opt/vmware/dr-rest/conf/context.xml
       ファイルの
      <Manager>
       タグをコメント解除します。
      ファイル内のタグを含む部分は、次にようになります。 
      <!-- Uncomment to enable FIPS mode.          -->
<Manager pathname="" secureRandomAlgorithm=""/>
    3. アプライアンスで FIPS がすでに有効になっている場合は、dr-rest サービスを再起動します。
      systemctl daemon-reload; systemctl restart dr-rest
  8. アプライアンスを再起動します。
    変更の実行後、アプライアンスを再起動する前に、
    systemctl daemon-reload
     コマンドを少なくとも 1 回必ず実行します。
    SSHD は、カーネルが FIPS モードを有効にしていることを確認し、それも有効にします。sshd 構成の内容を編集する必要はありません。
FIPS モードが有効になっていることを検証します。

Content feedback and comments