从FIPS.11.1开始、如果启用了ONTAP 9 140-2合规性模式、则TLSv1、TLSv1.1和SSLv3将被禁用、只有TSLv1.2和TSLv1.3保持启用状态。它会影响ONTAP 9内部和外部的其他系统和通信。如果启用FIPS 140-2合规模式、然后再禁用、TLSv1、TLSv1.1和SSLv3将保持禁用状态。TLSv1.2或TLSv1.3将保持启用状态、具体取决于先前的配置。

对于9.11.1之前的ONTAP版本、如果启用了FIPS 140-2合规性模式、则TLSv1和SSLv3都将被禁用、只有TLSv1.1和TLSv1.2保持启用状态。启用 FIPS 140-2 合规模式后， ONTAP 会阻止您同时启用 TLSv1 和 SSLv3 。如果启用 FIPS 140-2 合规模式，然后将其禁用， TLSv1 和 SSLv3 将保持禁用状态，但 TLSv1.2 或 TLSv1.1 和 TLSv1.2 均已启用，具体取决于先前的配置。

"NetApp加密安全模块(NCSM)"已通过FIPS 140-2 1级验证，可提供基于软件的合规性。

"启用 FIPS"

"查看FIPS状态"

使用 -supported-protocols 参数可独立于FIPS模式包含或排除TLS协议。默认情况下，FIPS 模式处于禁用状态，ONTAP 支持 TLSv1.2、TLSv1.1 和 TLSv1 协议。

为了实现向后兼容性、ONTAP支持在FIPS模式处于禁用状态时将SSLv3添加到支持的协议列表中。

使用 -supported-cipher-suites 参数仅配置高级加密标准(Advanced Encryption Standard、AES)或AES和3DES。

您可以通过指定来禁用RC4等弱加密 !RC4。默认情况下，支持的密码设置为 ALL:!LOW:!aNULL:!EXP:!eNULL。此设置意味着、协议支持的所有密码套件均已启用、但使用64位或56位加密算法且无身份验证、无加密、无导出的密码套件以及低加密密码套件除外。

选择可与相应选定协议一起使用的密码套件。配置无效可能会导致某些功能无法正常运行。

有关正确的密码字符串语法、请参见 ""使用"页面"OpenSSL上的(由OpenSSL软件基金会发布)。从ONTAP 9.9.1及更高版本开始、您无需在修改安全配置后手动重新启动所有节点。