Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

为 KMIP 服务器连接启用集群范围 FIPS 兼容模式

贡献者
PDF

您可以使用 security config modify 命令 -is-fips-enabled 用于为传输中的数据启用集群范围FIPS兼容模式的选项。这样做会强制集群在连接到 KMIP 服务器时在 FIPS 模式下使用 OpenSSL 。

关于此任务

启用集群范围 FIPS 兼容模式后,集群将仅自动使用 TLS1.2 和 FIPS 验证的密码套件。默认情况下,集群范围 FIPS 兼容模式处于禁用状态。

修改集群范围的安全配置后,您必须手动重新启动集群节点。

开始之前

  • 存储控制器必须配置为 FIPS 兼容模式。

  • 所有 KMIP 服务器都必须支持 TLSv1.2 。启用集群范围 FIPS 兼容模式后,系统需要使用 TLSv1.2 完成与 KMIP 服务器的连接。

步骤

  1. 将权限级别设置为高级:

    set -privilege advanced

  2. 验证是否支持 TLSv1.2 :

    security config show -supported-protocols

    有关完整的命令语法,请参见手册页。

    cluster1::> security config show
          Cluster                                              Cluster Security
Interface FIPS Mode  Supported Protocols     Supported Ciphers Config Ready
--------- ---------- ----------------------- ----------------- ----------------
SSL       false      TLSv1.2, TLSv1.1, TLSv1 ALL:!LOW:         yes
                                             !aNULL:!EXP:
                                             !eNULL

  3. 启用集群范围 FIPS 兼容模式:

    security config modify -is-fips-enabled true -interface SSL

    有关完整的命令语法,请参见手册页。

  4. 手动重新启动集群节点。

  5. 验证是否已启用集群范围 FIPS 兼容模式:

    security config show

    cluster1::> security config show
          Cluster                                              Cluster Security
Interface FIPS Mode  Supported Protocols     Supported Ciphers Config Ready
--------- ---------- ----------------------- ----------------- ----------------
SSL       true       TLSv1.2, TLSv1.1        ALL:!LOW:         yes
                                             !aNULL:!EXP:
                                             !eNULL:!RC4