Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Activez le mode compatible FIPS au niveau du cluster pour les connexions de serveurs KMIP

Contributeurs
PDF

Vous pouvez utiliser le security config modify commande avec -is-fips-enabled Option permettant d'activer le mode conforme à la norme FIPS au niveau du cluster pour les données en transit. Cela force le cluster à utiliser OpenSSL en mode FIPS lors de la connexion à des serveurs KMIP.

Description de la tâche

Lorsque vous activez le mode cluster compatible FIPS, le cluster n'utilise automatiquement que les suites de chiffrement conformes à la norme TLS1.2 et FIPS. Le mode conforme à la norme FIPS à l'échelle du cluster est désactivé par défaut.

Vous devez redémarrer manuellement les nœuds du cluster après avoir modifié la configuration de sécurité à l'échelle du cluster.

Avant de commencer

  • Le contrôleur de stockage doit être configuré en mode conforme à la norme FIPS.

  • Tous les serveurs KMIP doivent prendre en charge TLSv1.2. Le système nécessite TLSv1.2 pour terminer la connexion au serveur KMIP lorsque le mode conforme FIPS à l'échelle du cluster est activé.

Étapes

  1. Définissez le niveau de privilège sur avancé :

    set -privilege advanced

  2. Vérifiez que TLSv1.2 est pris en charge :

    security config show -supported-protocols

    Pour connaître la syntaxe complète de la commande, reportez-vous à la page man.

    cluster1::> security config show
          Cluster                                              Cluster Security
Interface FIPS Mode  Supported Protocols     Supported Ciphers Config Ready
--------- ---------- ----------------------- ----------------- ----------------
SSL       false      TLSv1.2, TLSv1.1, TLSv1 ALL:!LOW:         yes
                                             !aNULL:!EXP:
                                             !eNULL

  3. Activer le mode compatible FIPS à l'échelle du cluster :

    security config modify -is-fips-enabled true -interface SSL

    Pour connaître la syntaxe complète de la commande, reportez-vous à la page man.

  4. Redémarrez les nœuds du cluster manuellement.

  5. Vérifiez que le mode compatible FIPS à l'échelle du cluster est activé :

    security config show

    cluster1::> security config show
          Cluster                                              Cluster Security
Interface FIPS Mode  Supported Protocols     Supported Ciphers Config Ready
--------- ---------- ----------------------- ----------------- ----------------
SSL       true       TLSv1.2, TLSv1.1        ALL:!LOW:         yes
                                             !aNULL:!EXP:
                                             !eNULL:!RC4