日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。
ONTAPでKMIPサーバ接続のクラスタ全体のFIPS準拠モードを有効にする
共同作成者
変更を提案
PDF
`security config modify`コマンドを-`is-fips-enabled`オプションとともに使用して、転送中のデータに対してクラスタ全体でFIPS準拠モードを有効にすることができます。これにより、クラスタはKMIPサーバへの接続時にFIPSモードでOpenSSLを使用するようになります。
タスク概要
クラスタ全体のFIPS準拠モードを有効にすると、自動的にTLS1.2とFIPS認定暗号スイートのみが使用されます。クラスタ全体のFIPS準拠モードは、デフォルトでは無効になっています。
クラスタ全体のセキュリティの設定を変更した場合は、変更後にクラスタ ノードを手動でリブートする必要があります。
開始する前に
-
ストレージ コントローラはFIPS準拠モードで設定する必要があります。
-
すべてのKMIPサーバでTLSv1.2がサポートされている必要があります。クラスタ全体のFIPS準拠モードが有効になっている場合、KMIPサーバへの接続を完了するためにTLSv1.2が必要になります。
手順
-
権限レベルをadvancedに設定します。
set -privilege advanced -
TLSv1.2がサポートされていることを確認します。
security config show -supported-protocols`security config show`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-config-show.html["ONTAPコマンド リファレンス"^]を参照してください。
cluster1::> security config show Cluster Cluster Security Interface FIPS Mode Supported Protocols Supported Ciphers Config Ready --------- ---------- ----------------------- ----------------- ---------------- SSL false TLSv1.2, TLSv1.1, TLSv1 ALL:!LOW: yes !aNULL:!EXP: !eNULL -
クラスタ全体のFIPS準拠モードを有効にします。
security config modify -is-fips-enabled true -interface SSL`security config modify`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-config-modify.html["ONTAPコマンド リファレンス"^]を参照してください。
-
クラスタ ノードを手動でリブートします。
-
クラスタ全体のFIPS準拠モードが有効になっていることを確認します。
security config showcluster1::> security config show Cluster Cluster Security Interface FIPS Mode Supported Protocols Supported Ciphers Config Ready --------- ---------- ----------------------- ----------------- ---------------- SSL true TLSv1.2, TLSv1.1 ALL:!LOW: yes !aNULL:!EXP: !eNULL:!RC4