日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

セッション指向プロトコルに関する考慮事項

管理者アカウントがSSH公開鍵を使用して認証するクラスタでSSL FIPSモードが有効になっている場合は、ONTAP をアップグレードする前に、ターゲットリリースでホストキーアルゴリズムがサポートされていることを確認する必要があります。

*注:ONTAP 9.11.1以降では、ホストキーアルゴリズムのサポートが変更されています。

ONTAP リリース

サポートされているキータイプ

サポートされていないキータイプです

9.11.1以降

ECDSA - sha2 - nistp256

rsa-sha2-512+ rsa-sha2-256+ ssh-ed25519 + ssh-dss+ssh-rsa

9.10.1以前

ECDSA - sha2 -nistp256 + ssh-ed25519

SSH-DSS + ssh-rsa

アップグレードを有効にする前に、サポートされるキーアルゴリズムを使用していない既存のSSH公開鍵アカウントをサポート対象のキータイプで再設定する必要があります。再設定しないと、管理者認証が失敗します。

ONTAP 9.11.1RC1に関する考慮事項

ONTAP バージョン9.11.1RC1の変更により、FIPS 140-2準拠管理モードではFIPS 140-2準拠のソフトウェアモジュールが使用されなくなりました。

ONTAP 9.11.1RC1では、HTTPSの管理プレーンとコントロールプレーンの接続に使用するOpenSSLのバージョンがアップグレードされました。このバージョンのOpenSSL(OpenSSL 3.x FIPSプロバイダ)では、FIPS 140-2暗号モジュール検証プログラム(CMVP)検証プロセスがまだ完了していません。

FIPS準拠モードが有効になっている場合、HTTPS接続に使用される暗号化アルゴリズムは、Cryptographic Algorithm Validation Program(CAVP)証明書A1938で発行されたOpenSSL 3.x FIPSプロバイダアルゴリズムと同じです。この変更は、FIPS準拠モードに設定されているONTAP システムにのみ適用されます。

この問題 は、ONTAP 9.11.1RC1でアップグレードされたOpenSSLモジュールがNISTによるFIPS 140-2検証を完了した時点で修正されます。ONTAP クラスタ管理コントロールプレーンでFIPS 140-2 CMVP認定モジュールを使用する必要がある環境では、9.11.1RC1にアップグレードしないことを推奨します。

NSE、NVE ONTAP 、NAEなどの保管テクノロジでは、OpenSSLに搭載されている暗号化モジュールとは異なる暗号化モジュールを使用するため、この機能はネットアップの暗号化には影響しません。