VMware Site Recovery Manager 8.8

8.7 8.6 8.8
简体中文 Deutsch Español Français Italiano 日本語 한국어 繁體中文 English

Site Recovery Manager
 장치에서 FIPS를 활성화하는 방법

이 항목에서는
Site Recovery Manager
 장치에서 FIPS(Federal Information Processing Standard) 모드를 활성화하기 위해 수행해야 하는 작업을 간략하게 설명합니다.
환경을 배포할 때 신뢰할 수 있는 인증서를 사용해야 합니다.
인증서 파일 형식
PKCS#12
는 FIPS 모드의 인증서 구성에서 지원되지 않습니다.
PKCS#12
 파일 형식은 FIPS를 준수하지 않는 알고리즘을 표준 규격으로 사용합니다.
  1. Site Recovery Manager
     서비스에 대한 구성 파일을 편집합니다.
    1. /opt/vmware/dr/conf/drconfig.xml
      로 이동하여 파일을 열고 다음 설정을 변경합니다.
      <Config>
    <vmacore>
        <ssl>
            <fips>true</fips>
        </ssl>
    </vmacore>
</Config>
    2. /opt/vmware/srm/conf/vmware-dr.template.xml
      로 이동하여 파일을 열고 다음 설정을 변경합니다.
      <Config>
    <vmacore>
        <ssl>
            <fips>true</fips>
        </ssl>
    </vmacore>
</Config>
    3. 장치가 구성되면
      /opt/vmware/srm/conf/vmware-dr.xml
       파일을 편집합니다.
      <Config>
    <vmacore>
        <ssl>
            <fips>true</fips>
        </ssl>
    </vmacore>
</Config>
  2. 엄격 모드에서
    Site Recovery Manager
     서비스를 시작합니다.
    1. /usr/lib/systemd/system/dr-configurator.service
      를 편집합니다.
      # Uncomment to enable FIPS
       아래의 줄에서 주석을 제거합니다.
      파일 조각은 다음과 같아야 합니다.
      # Uncomment to enable FIPS
Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules
Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
    2. /usr/lib/systemd/system/srm-server.service
      를 편집합니다.
      # Uncomment to enable FIPS
       아래의 줄에서 주석을 제거합니다.
      파일 조각은 다음과 같아야 합니다.
      # Uncomment to enable FIPS
Environment=OPENSSL_MODULES=/opt/vmware/dr/lib/ossl-modules
Environment=OPENSSL_CONF=/opt/vmware/etc/dr/ssl/openssl.cnf
    3. dr-configurator
      srm-server
      를 다시 시작합니다. 다음 명령을 실행합니다.
      systemctl daemon-reload
systemctl restart dr-configurator
systemctl restart srm-server
  3. 장치에
    루트
     사용자로 로그인하고 커널 cmdline을 편집합니다.
    1. /boot/grub/grub.cfg
      를 엽니다.
    2. menuentry
       항목을 찾습니다.
    3. linux
      로 시작하는 각
      menuentry
      의 줄 끝에 다음을 추가합니다.
      fips=1
    4. 파일을 저장합니다.
  4. 엄격 모드에서 구성 UI를 시작합니다.
    1. /usr/lib/systemd/system/drconfigui.service
      를 편집합니다. 기존
      Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
      을 주석 처리하고
      # Uncomment to enable FIPS
       아래의 줄에서 주석을 제거합니다.
      파일 조각은 다음과 같아야 합니다.
      Environment=JRE_HOME=/usr/java/jre-vmware
# Comment when enable FIPS
# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
# Uncomment to enable FIPS
Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
    2. /opt/vmware/drconfigui/conf/context.xml
       파일의
      <Manager>
       태그에서 주석을 제거합니다.
      태그가 있는 파일 조각은 다음과 같아야 합니다. 
      <!-- Uncomment to enable FIPS mode.          -->
<Manager pathname="" secureRandomAlgorithm=""/>
    3. 장치에 대해 FIPS가 이미 사용되도록 설정된 경우 drconfigui 서비스를 다시 시작합니다.
      systemctl daemon-reload; systemctl restart drconfigui
  5. 엄격 모드에서 UI를 시작합니다.
    1. /usr/lib/systemd/system/dr-client.service
      를 편집합니다. 기존
      Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
      을 주석 처리하고
      # Uncomment to enable FIPS
       아래의 줄에서 주석을 제거합니다.
      파일 조각은 다음과 같아야 합니다.
      Environment=JRE_HOME=/usr/java/jre-vmware
# Comment when enable FIPS
# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
# Uncomment to enable FIPS
Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
    2. /opt/vmware/dr-client/conf/context.xml
       파일의
      <Manager>
       태그에서 주석을 제거합니다.
      태그가 있는 파일 조각은 다음과 같아야 합니다. 
      <!-- Uncomment to enable FIPS mode.              -->
<Manager pathname="" secureRandomAlgorithm=""/>
    3. /opt/vmware/dr-client/lib/h5dr.properties
       파일을 편집하고 루트 CA 인증서가 있는 BCFKS 형식 키 저장소 및 신뢰 저장소를 가리키도록 매개 변수를 수정합니다.
      속성은 다음과 같아야 합니다. 
      drTrustStorePass=<same as keyStorePass>
drTrustStoreName=h5dr.truststore.bks
keyStoreName=h5dr.keystore.bks
      기본 신뢰 저장소 이외의 신뢰 저장소를 사용하도록 선택하는 경우
      /opt/vmware/dr-client/lib/
       또는
      /vmware/dr-client/webapps/dr/WEB-INF/classes/
      에 해당 신뢰 저장소에 대한 링크를 추가해야 합니다. 키 저장소 형식은 BCFKS여야 합니다. JKS 형식에서 가져오려면 다음 명령을 사용합니다. 
      $JAVA_HOME/bin/keytool -importkeystore -srckeystore <path-to-jks-keystore> -srcstoretype JKS -srcstorepass <keystorepass> -destkeystore <path-to-target-bks-keystore> -deststoretype BCFKS -deststorepass <keystorepass> -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath /opt/vmware/dr-client/lib/ext/bc-fips-1.0.2.3.jar
      사용하는 키 저장소 및 신뢰 저장소 파일에는
      기타: 읽기
       사용 권한이 있어야 합니다. 장치를 재구성한 후에는 위의 규칙에 따라
      /opt/vmware/dr-client/lib/h5dr.properties
       파일을 다시 편집해야 합니다.
    4. 장치에 대해 FIPS가 이미 사용되도록 설정된 경우 dr-client 서비스를 다시 시작합니다.
      systemctl daemon-reload; systemctl restart dr-client
  6. 엄격 모드에서 UI 플러그인(dr-client-plugin)을 시작합니다.
    1. /usr/lib/systemd/system/dr-client-plugin.service
      를 편집합니다. 기존
      Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
      을 주석 처리하고
      # Uncomment to enable FIPS
       아래의 줄에서 주석을 제거합니다.
      파일 조각은 다음과 같아야 합니다.
      Environment=JRE_HOME=/usr/java/jre-vmware
# Comment when enable FIPS
# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
# Uncomment to enable FIPS
Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
    2. /opt/vmware/dr-client-plugin/conf/context.xml
       파일의
      <Manager>
       태그에서 주석을 제거합니다.
      태그가 있는 파일 조각은 다음과 같아야 합니다. 
      <!-- Uncomment to enable FIPS mode.          -->
<Manager pathname="" secureRandomAlgorithm=""/>
    3. 장치에 대해 FIPS가 이미 사용되도록 설정된 경우 dr-client 플러그인 서비스를 다시 시작합니다.
      systemctl daemon-reload; systemctl restart dr-client-plugin
  7. 엄격 모드에서 REST API 서비스(dr-rest)를 시작합니다.
    1. /usr/lib/systemd/system/dr-rest.service
      를 편집합니다. 기존
      Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
      을 주석 처리하고
      # Uncomment to enable FIPS
       아래의 줄에서 주석을 제거합니다.
      파일 조각은 다음과 같아야 합니다. 
      Environment=JRE_HOME=/usr/java/jre-vmware
# Comment when enable FIPS
# Environment='CATALINA_OPTS=-Xms768m -Xmx1024m'
# Uncomment to enable FIPS
Environment='SERVICE_CLASSPATH=$CATALINA_BASE/lib/ext/*'
Environment='CATALINA_OPTS=-Xms768m -Xmx1024m -Djava.security.properties==/opt/vmware/dr-client/conf/vmware-override-java.security -Dorg.bouncycastle.jca.enable_jks=true -Dorg.bouncycastle.fips.approved_only=true'
    2. /opt/vmware/dr-rest/conf/context.xml
       파일의
      <Manager>
       태그에서 주석을 제거합니다.
      태그가 있는 파일 조각은 다음과 같아야 합니다. 
      <!-- Uncomment to enable FIPS mode.          -->
<Manager pathname="" secureRandomAlgorithm=""/>
    3. 장치에 대해 FIPS가 이미 사용되도록 설정된 경우 dr-rest 서비스를 다시 시작합니다.
      systemctl daemon-reload; systemctl restart dr-rest
  8. 장치를 재부팅합니다.
    수정한 후 장치를 재부팅하기 전에
    systemctl daemon-reload
     명령이 한 번 이상 실행되었는지 확인합니다.
    SSHD는 커널이 FIPS 모드를 사용하도록 설정했음을 확인하고 이를 활성화합니다. sshd 구성에서는 아무것도 편집할 필요가 없습니다.
FIPS 모드가 활성화되었는지 검증합니다.

Content feedback and comments