Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Habilite el modo conforme a FIPS para todo el clúster para las conexiones del servidor KMIP en ONTAP

Colaboradores netapp-ahibbard netapp-aaron-holt netapp-aherbin
PDF

Puede usar security config modify el comando con -`is-fips-enabled`la opción de habilitar un modo conforme a FIPS para todo el clúster con los datos sobre transferencia. Al hacerlo, obliga al clúster a usar OpenSSL en modo FIPS al conectarse a servidores KMIP.

Acerca de esta tarea

Cuando habilita el modo compatible con FIPS en todo el clúster, el clúster utilizará únicamente paquetes de cifrado validados TLS1.2 y FIPS. El modo compatible con FIPS para todo el clúster está deshabilitado de forma predeterminada.

Debe reiniciar los nodos del clúster de forma manual después de modificar la configuración de seguridad de todo el clúster.

Antes de empezar

  • La controladora de almacenamiento debe configurarse en modo conforme a FIPS.

  • Todos los servidores KMIP deben ser compatibles con TLSv1.2. El sistema requiere TLSv1.2 para completar la conexión con el servidor KMIP cuando se habilita el modo compatible con FIPS en todo el clúster.

Pasos

  1. Configure el nivel de privilegio en Advanced:

    set -privilege advanced

  2. Compruebe que TLSv1.2 es compatible:

    security config show -supported-protocols

    Obtenga más información sobre security config show en el "Referencia de comandos del ONTAP".

    cluster1::> security config show
          Cluster                                              Cluster Security
Interface FIPS Mode  Supported Protocols     Supported Ciphers Config Ready
--------- ---------- ----------------------- ----------------- ----------------
SSL       false      TLSv1.2, TLSv1.1, TLSv1 ALL:!LOW:         yes
                                             !aNULL:!EXP:
                                             !eNULL

  3. Habilite el modo compatible con FIPS para todo el clúster:

    security config modify -is-fips-enabled true -interface SSL

    Obtenga más información sobre security config modify en el "Referencia de comandos del ONTAP".

  4. Reiniciar nodos del clúster de forma manual.

  5. Compruebe que el modo compatible con FIPS en todo el clúster esté habilitado:

    security config show

    cluster1::> security config show
          Cluster                                              Cluster Security
Interface FIPS Mode  Supported Protocols     Supported Ciphers Config Ready
--------- ---------- ----------------------- ----------------- ----------------
SSL       true       TLSv1.2, TLSv1.1        ALL:!LOW:         yes
                                             !aNULL:!EXP:
                                             !eNULL:!RC4