使用 FIPS 為所有 SSL 連線設定 ONTAP 網路安全性
建議變更
PDF
ONTAP 的所有 SSL 連線均符合聯邦資訊處理標準 (FIPS) 140-2。您可以開啟和關閉 SSL FIPS 模式,全域設定 SSL 協議,並關閉ONTAP中的任何弱密碼。
根據預設, ONTAP 上的 SSL 設為停用 FIPS 相容性,並啟用下列 TLS 通訊協定:
-
TLSv1.3 (從 ONTAP 9.11.1 開始)
-
TLSv1.2
先前的 ONTAP 版本預設啟用下列 TLS 通訊協定:
-
TLSv1.1 (從 ONTAP 9.12.1 開始預設為停用)
-
TLSv1 (從 ONTAP 9.8 開始預設為停用)
啟用SSL FIPS模式時、ONTAP 從靜止到外部用戶端或ONTAP 伺服器元件的SSL通訊、將使用FIPS相容的SSL加密。
如果您想要系統管理員帳戶使用SSH公開金鑰來存取SVM、則必須先確認主機金鑰演算法受到支援、才能啟用SSL FIPS模式。
附註: ONTAP 主機金鑰演算法支援已在更新版本的版本中變更。
發行版ONTAP |
支援的金鑰類型 |
不支援的金鑰類型 |
9.11.1 及更新版本 |
ECDSA-SHA2-nistp256 |
RSA-SHA2-512 |
9.10.1及更早版本 |
ECDSA-SHA2-nistp256 |
SSH-DSS |
沒有支援金鑰演算法的現有SSH公開金鑰帳戶、必須先以支援的金鑰類型重新設定、才能啟用FIPS、否則系統管理員驗證將會失敗。
如需詳細資訊、請參閱 "啟用SSH公開金鑰帳戶"。
ONTAP 9.18.1 引入了對 ML-KEM、ML-DSA 和 SLH-DSA 後量子計算加密演算法的支持,用於 SSL,從而為抵禦未來潛在的量子電腦攻擊提供了額外的安全保障。這些演算法僅在以下情況下可用FIPS 已停用。當 FIPS 被停用且對等方支援時,將協商後量子加密演算法。
啟用 FIPS
建議所有安全的使用者在系統安裝或升級之後、立即調整其安全組態。啟用SSL FIPS模式時、ONTAP 從靜止到外部用戶端或ONTAP 伺服器元件的SSL通訊、將使用FIPS相容的SSL加密。
|
啟用FIPS時、您無法安裝或建立RSA金鑰長度為4096的憑證。 |
-
變更為進階權限層級:
set -privilege advanced -
啟用 FIPS :
security config modify * -is-fips-enabled true -
當系統提示您繼續時、請輸入
y -
從ONTAP 9.9.1 開始,不需要重新啟動。如果您執行的是ONTAP 9.8 或更早版本,請手動逐一重新啟動叢集中的每個節點。
如果您執行ONTAP 的是更新版本的版本、則不會看到警告訊息。
security config modify -is-fips-enabled true
Warning: This command will enable FIPS compliance and can potentially cause some non-compliant components to fail. MetroCluster and Vserver DR require FIPS to be enabled on both sites in order to be compatible.
Do you want to continue? {y|n}: y
Warning: When this command completes, reboot all nodes in the cluster. This is necessary to prevent components from failing due to an inconsistent security configuration state in the cluster. To avoid a service outage, reboot one node at a time and wait for it to completely initialize before rebooting the next node. Run "security config status show" command to monitor the reboot status.
Do you want to continue? {y|n}: y
如"指令參考資料ONTAP"需有關及 SSL FIPS 模式組態的詳細 `security config modify`資訊,請參閱。
停用FIPS
從ONTAP 9.18.1 開始, ONTAP中的 SSL 支援 ML-KEM、ML-DSA 和 SLH-DSA 後量子計算加密演算法。只有在禁用 FIPS 且對等方支援這些演算法時,這些演算法才可用。
-
變更為進階權限層級:
set -privilege advanced -
輸入下列命令來停用FIPS:
security config modify -is-fips-enabled false -
當系統提示您繼續時、請輸入
y。 -
從ONTAP 9.9.1 開始,不需要重新啟動。如果您執行的是ONTAP 9.8 或更早版本,請手動重新啟動叢集中的每個節點。
如果您需要使用 SSLv3 協議,則必須依照上述步驟停用 FIPS。只有在停用 FIPS 的情況下才能啟用 SSLv3。
您可以使用以下命令啟用 SSLv3。如果您執行的是ONTAP 9.9.1 或更高版本,則不會看到此警告訊息。
security config modify -supported-protocols SSLv3
Warning: Enabling the SSLv3 protocol may reduce the security of the interface, and is not recommended.
Do you want to continue? {y|n}: y
Warning: When this command completes, reboot all nodes in the cluster. This is necessary to prevent components from failing due to an inconsistent security configuration state in the cluster. To avoid a service outage, reboot one node at a time and wait for it to completely initialize before rebooting the next node. Run "security config status show" command to monitor the reboot status.
Do you want to continue? {y|n}: y
檢視FIPS法規遵循狀態
您可以查看整個叢集是否正在執行目前的安全性組態設定。
-
如果您執行的是ONTAP 9.8 或更早版本,請手動逐一重新啟動叢集中的每個節點。
-
檢視目前的法規遵循狀態:
security config showcluster1::> security config show Cluster Supported FIPS Mode Protocols Supported Cipher Suites ---------- --------- ---------------------------------------------------------- false TLSv1.3, TLS_RSA_WITH_AES_128_CCM, TLS_RSA_WITH_AES_128_CCM_8, TLSv1.2 TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_256_CCM, TLS_RSA_WITH_AES_256_CCM_8, ...如"指令參考資料ONTAP"需詳細 `security config show`資訊,請參閱。