セッション指向プロトコルに関する考慮事項
管理者アカウントがSSH公開鍵を使用して認証するクラスタでSSL FIPSモードが有効になっている場合は、ONTAP をアップグレードする前に、ターゲットリリースでホストキーアルゴリズムがサポートされていることを確認する必要があります。
*注:ONTAP 9.11.1以降では、ホストキーアルゴリズムのサポートが変更されています。
ONTAP リリース |
サポートされているキータイプ |
サポートされていないキータイプです |
9.11.1以降 |
ECDSA - sha2 - nistp256 |
rsa-sha2-512+ rsa-sha2-256+ ssh-ed25519 + ssh-dss+ssh-rsa |
9.10.1以前 |
ECDSA - sha2 -nistp256 + ssh-ed25519 |
SSH-DSS + ssh-rsa |
アップグレードを有効にする前に、サポートされるキーアルゴリズムを使用していない既存のSSH公開鍵アカウントをサポート対象のキータイプで再設定する必要があります。再設定しないと、管理者認証が失敗します。
ONTAP 9.11.1RC1に関する考慮事項
ONTAP バージョン9.11.1RC1の変更により、FIPS 140-2準拠管理モードではFIPS 140-2準拠のソフトウェアモジュールが使用されなくなりました。
ONTAP 9.11.1RC1では、HTTPSの管理プレーンとコントロールプレーンの接続に使用するOpenSSLのバージョンがアップグレードされました。このバージョンのOpenSSL(OpenSSL 3.x FIPSプロバイダ)では、FIPS 140-2暗号モジュール検証プログラム(CMVP)検証プロセスがまだ完了していません。
FIPS準拠モードが有効になっている場合、HTTPS接続に使用される暗号化アルゴリズムは、Cryptographic Algorithm Validation Program(CAVP)証明書A1938で発行されたOpenSSL 3.x FIPSプロバイダアルゴリズムと同じです。この変更は、FIPS準拠モードに設定されているONTAP システムにのみ適用されます。
この問題 は、ONTAP 9.11.1RC1でアップグレードされたOpenSSLモジュールがNISTによるFIPS 140-2検証を完了した時点で修正されます。ONTAP クラスタ管理コントロールプレーンでFIPS 140-2 CMVP認定モジュールを使用する必要がある環境では、9.11.1RC1にアップグレードしないことを推奨します。
NSE、NVE ONTAP 、NAEなどの保管テクノロジでは、OpenSSLに搭載されている暗号化モジュールとは異なる暗号化モジュールを使用するため、この機能はネットアップの暗号化には影響しません。
詳細については、を参照してください "ONTAP 9.11.1RC1にアップグレードすると、FIPS 140-2準拠の管理設定が検証されなくなります"。