Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Konfiguration der Netzwerksicherheit mithilfe von FIPS (Federal Information Processing Standards)

Beitragende

ONTAP ist für alle SSL-Verbindungen konform in den Federal Information Processing Standards (FIPS) 140-2. Sie können den SSL-FIPS-Modus ein- und ausschalten, SSL-Protokolle global festlegen und alle schwachen Chiffren wie RC4 innerhalb von ONTAP deaktivieren.

SSL auf ONTAP wird standardmäßig mit deaktiviertem FIPS und mit dem folgenden SSL-Protokoll aktiviert:

  • TLSv1.3 (ab ONTAP 9.11.1)

  • TLSv1.2

  • TLSv1.1

  • TLSv1

Wenn der SSL-FIPS-Modus aktiviert ist, wird die SSL-Kommunikation von ONTAP mit externen Client- oder Serverkomponenten außerhalb von ONTAP FIPS-konforme Crypto for SSL verwendet.

Wenn Administratorkonten auf SVMs mit einem öffentlichen SSH-Schlüssel zugreifen möchten, müssen Sie vor Aktivierung des SSL-FIPS-Modus sicherstellen, dass der Host Key-Algorithmus unterstützt wird.

Hinweis: die Unterstützung des Host Key Algorithmus hat sich in ONTAP 9.11.1 und späteren Versionen geändert.

Version von ONTAP

Unterstützte Schlüsseltypen

Nicht unterstützte Schlüsseltypen

9.11.1 und höher

ecdsa-sha2-nistp256

rsa-sha2-512 + rsa-sha2-256 + ssh-ed25519 + ssh-dss + ssh-rsa

9.10.1 und früher

ecdsa-sha2-nistp256 + ssh-ed25519

ssh-dss + SSH-rsa

Bestehende öffentliche SSH-Konten ohne die unterstützten Schlüsselalgorithmen müssen vor der Aktivierung von FIPS mit einem unterstützten Schlüsseltyp neu konfiguriert werden oder die Administratorauthentifizierung schlägt fehl.

Weitere Informationen finden Sie unter "Aktivieren Sie SSH-Konten für öffentliche Schlüssel".

Weitere Informationen zur Konfiguration des SSL-FIPS-Modus finden Sie im security config modify Man-Page.

Aktivieren Sie FIPS

Es wird empfohlen, dass alle sicheren Benutzer ihre Sicherheitskonfiguration unmittelbar nach der Installation oder Aktualisierung des Systems anpassen. Wenn der SSL-FIPS-Modus aktiviert ist, wird die SSL-Kommunikation von ONTAP mit externen Client- oder Serverkomponenten außerhalb von ONTAP FIPS-konforme Crypto for SSL verwendet.

Hinweis Wenn FIPS aktiviert ist, können Sie kein Zertifikat mit einer RSA-Schlüssellänge von 4096 installieren oder erstellen.
Schritte
  1. Ändern Sie die erweiterte Berechtigungsebene:

    set -privilege advanced

  2. FIPS aktivieren:

    security config modify -interface SSL -is-fips-enabled true

  3. Wenn Sie zum Fortfahren aufgefordert werden, geben Sie ein y

  4. Wenn Sie ONTAP 9.8 oder früher ausführen, sollten Sie jeden Node im Cluster nacheinander neu booten. Ab ONTAP 9.9 ist ein Neubooten nicht erforderlich.

Beispiel

Wenn ONTAP 9.9.1 oder höher ausgeführt wird, wird die Warnmeldung nicht angezeigt.

security config modify -interface SSL -is-fips-enabled true

Warning: This command will enable FIPS compliance and can potentially cause some non-compliant components to fail. MetroCluster and Vserver DR require FIPS to be enabled on both sites in order to be compatible.
Do you want to continue? {y|n}: y

Warning: When this command completes, reboot all nodes in the cluster. This is necessary to prevent components from failing due to an inconsistent security configuration state in the cluster. To avoid a service outage, reboot one node at a time and wait for it to completely initialize before rebooting the next node. Run "security config status show" command to monitor the reboot status.
Do you want to continue? {y|n}: y

Deaktivieren Sie FIPS

Wenn Sie noch eine ältere Systemkonfiguration ausführen und ONTAP mit Abwärtskompatibilität konfigurieren möchten, können Sie SSLv3 nur aktivieren, wenn FIPS deaktiviert ist.

Schritte
  1. Ändern Sie die erweiterte Berechtigungsebene:

    set -privilege advanced

  2. Deaktivieren Sie FIPS, indem Sie Folgendes eingeben:

    security config modify -interface SSL -is-fips-enabled false

  3. Wenn Sie zum Fortfahren aufgefordert werden, geben Sie ein y.

  4. Wenn Sie ONTAP 9.8 oder älter ausführen, booten Sie jeden Node im Cluster manuell neu. Ab ONTAP 9.9 ist ein Neubooten nicht erforderlich.

Beispiel

Wenn ONTAP 9.9.1 oder höher ausgeführt wird, wird die Warnmeldung nicht angezeigt.

security config modify -interface SSL -supported-protocols SSLv3

Warning: Enabling the SSLv3 protocol may reduce the security of the interface, and is not recommended.
Do you want to continue? {y|n}: y

Warning: When this command completes, reboot all nodes in the cluster. This is necessary to prevent components from failing due to an inconsistent security configuration state in the cluster. To avoid a service outage, reboot one node at a time and wait for it to completely initialize before rebooting the next node. Run "security config status show" command to monitor the reboot status.
Do you want to continue? {y|n}: y

Den FIPS-Compliance-Status anzeigen

Sie sehen, ob im gesamten Cluster die aktuellen Sicherheitseinstellungen ausgeführt werden.

Schritte
  1. Nacheinander: Jeden Node im Cluster neu booten

    Starten Sie nicht alle Cluster-Nodes gleichzeitig neu. Es ist ein Neustart erforderlich, um sicherzustellen, dass auf allen Applikationen im Cluster die neue Sicherheitskonfiguration und für alle Änderungen am FIPS-ein/aus-Modus, an Protokollen und Chiffren ausgeführt wird.

  2. Den aktuellen Compliance-Status anzeigen:

    security config show

security config show

          Cluster                                              Cluster Security
Interface FIPS Mode  Supported Protocols     Supported Ciphers Config Ready
--------- ---------- ----------------------- ----------------- ----------------
SSL       false      TLSv1_2, TLSv1_1, TLSv1 ALL:!LOW:!aNULL:  yes
                                             !EXP:!eNULL