Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Habilite o modo compatível com FIPS em todo o cluster para conexões de servidor KMIP

Colaboradores

Você pode usar o security config modify comando com a -is-fips-enabled opção de ativar o modo compatível com FIPS em todo o cluster para dados em trânsito. Isso força o cluster a usar o OpenSSL no modo FIPS ao se conetar a servidores KMIP.

Sobre esta tarefa

Quando você ativa o modo compatível com FIPS em todo o cluster, o cluster usará automaticamente somente pacotes de codificação validados por FIPS e TLS1,2. O modo compatível com FIPS em todo o cluster está desativado por padrão.

Você deve reinicializar os nós de cluster manualmente após modificar a configuração de segurança em todo o cluster.

Antes de começar
  • O controlador de storage deve ser configurado no modo compatível com FIPS.

  • Todos os servidores KMIP precisam oferecer suporte a TLSv1,2. O sistema requer o TLSv1,2 para concluir a conexão com o servidor KMIP quando o modo compatível com FIPS em todo o cluster estiver ativado.

Passos
  1. Defina o nível de privilégio como avançado:

    set -privilege advanced

  2. Verifique se o TLSv1,2 é suportado:

    security config show -supported-protocols

    Para obter a sintaxe completa do comando, consulte a página man.

    cluster1::> security config show
              Cluster                                              Cluster Security
    Interface FIPS Mode  Supported Protocols     Supported Ciphers Config Ready
    --------- ---------- ----------------------- ----------------- ----------------
    SSL       false      TLSv1.2, TLSv1.1, TLSv1 ALL:!LOW:         yes
                                                 !aNULL:!EXP:
                                                 !eNULL
  3. Ativar o modo compatível com FIPS em todo o cluster:

    security config modify -is-fips-enabled true -interface SSL

    Para obter a sintaxe completa do comando, consulte a página man.

  4. Reinicializar os nós de cluster manualmente.

  5. Verifique se o modo compatível com FIPS em todo o cluster está ativado:

    security config show

    cluster1::> security config show
              Cluster                                              Cluster Security
    Interface FIPS Mode  Supported Protocols     Supported Ciphers Config Ready
    --------- ---------- ----------------------- ----------------- ----------------
    SSL       true       TLSv1.2, TLSv1.1        ALL:!LOW:         yes
                                                 !aNULL:!EXP:
                                                 !eNULL:!RC4