KMIPサーバ接続に対してクラスタ全体のFIPS準拠モードを有効にする
変更を提案
PDF
コマンドで-is-fips-enabled`オプションを使用すると、転送中のデータに対してクラスタ全体のFIPS準拠モードを有効にできます `security config modify。これにより、クラスタからKMIPサーバに接続するときにFIPSモードのOpenSSLが使用されるようになります。
クラスタ全体のFIPS準拠モードを有効にすると、自動的にTLS1.2とFIPS検証済みの暗号スイートのみが使用されます。クラスタ全体のFIPS準拠モードは、デフォルトでは無効になっています。
クラスタ全体のセキュリティ設定を変更した場合は、クラスタノードを手動でリブートする必要があります。
-
ストレージコントローラはFIPS準拠モードで設定する必要があります。
-
すべてのKMIPサーバでTLSv1.2がサポートされている必要があります。クラスタ全体のFIPS準拠モードが有効になっている場合、KMIPサーバへの接続を完了するにはTLSv1.2が必要です。
-
権限レベルをadvancedに設定します。
set -privilege advanced -
TLSv1.2がサポートされていることを確認します。
security config show -supported-protocolsコマンド構文全体については、マニュアルページを参照してください。
cluster1::> security config show Cluster Cluster Security Interface FIPS Mode Supported Protocols Supported Ciphers Config Ready --------- ---------- ----------------------- ----------------- ---------------- SSL false TLSv1.2, TLSv1.1, TLSv1 ALL:!LOW: yes !aNULL:!EXP: !eNULL -
クラスタ全体のFIPS準拠モードを有効にします。
security config modify -is-fips-enabled true -interface SSLコマンド構文全体については、マニュアルページを参照してください。
-
クラスタノードを手動でリブートします。
-
クラスタ全体のFIPS準拠モードが有効になっていることを確認します。
security config showcluster1::> security config show Cluster Cluster Security Interface FIPS Mode Supported Protocols Supported Ciphers Config Ready --------- ---------- ----------------------- ----------------- ---------------- SSL true TLSv1.2, TLSv1.1 ALL:!LOW: yes !aNULL:!EXP: !eNULL:!RC4