Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

TLS 和 SSL 管理

貢獻者
PDF

您可以使用 ONTAP 命令將參數設為 true 、為控制平面介面啟用 FIPS 140-2/3 規範模式 is-fips-enabled security config modify

從ONTAP 功能支援範圍9開始、您可以針對整個叢集的控制面板介面啟用FIPS 140-2相容模式。預設會停用FIPS 140-2模式。您可以將命令的參數設為、以啟用 FIPS 140-2 規範模式 is-fips-enabled true security config modify 。然後您可以使用 security config show command 確認線上狀態。

啟用FIPS 140-2規範時、會停用TLSv1和SSLv3、而且只有TLSv1.1和TLSv1.2會維持啟用狀態。啟用FIPS 140-2規範時、無法啟用TLSv1和SSLv3。ONTAP如果您啟用 FIPS 140-2 、然後再停用、 TLSv1 和 SSLv3 仍會保持停用狀態、但 TLSv1.2 或 TLSv1.1 和 TLSv1.2 仍會保持啟用狀態、視先前的組態而定。

此命令會 security config modify 修改現有的叢集範圍安全性組態。如果您啟用 FIPS 相容模式、叢集會自動僅選取 TLS 通訊協定。使用此 -supported-protocols 參數可在 FIPS 模式之外、自行納入或排除 TLS 通訊協定。根據預設、 FIPS 模式會停用、 ONTAP 支援 TLSv1.2 、 TLSv1.1 和 TLSv1 傳輸協定。

為了回溯相容性、 ONTAP 支援在停用 FIPS 模式時、將 SSLv3 新增至 supported-protocols 清單。使用此 -supported-cipher-suites 參數僅設定進階加密標準( AES )或 AES 和 3DES 。您也可以透過指定 !RC4 來停用弱式加密方式、例如 RC4 。依預設,支援的密碼設定為 ALL:!LOW:!aNULL:!EXP:!eNULL。此設定表示所有支援的通訊協定加密套件都已啟用、但不含驗證、無加密、未匯出及低加密密碼套件的加密套件除外。這些套件使用 64 位元或 56 位元加密演算法。

選取對應選取的傳輸協定所提供的加密套件。無效的組態可能會導致某些功能無法正常運作。

如需正確的加密字串語法、請參閱 "密碼" 「 Openssl 」(由 OpenSSL 軟體基礎所發佈)頁面。從 ONTAP 9.9.1 及更新版本開始、您不再需要在修改安全性組態之後手動重新啟動所有節點。

啟用 FIPS 140-2 規範會影響其他系統、以及 ONTAP 9 內部和外部的通訊。NetApp 強烈建議在具有主控台存取權的非正式作業系統上測試這些設定。

註 如果使用 SSH 管理 ONTAP 9 、則必須使用 OpenSSH 5.7 或更新版本的用戶端。SSH 用戶端必須與省略曲線數位簽章演算法( ECDSA )公開金鑰演算法交涉、才能成功連線。

只啟用 TLS 1.2 和使用支援完全轉送機密( PFS )的加密套件、就能進一步強化 TLS 安全性。PFS 是一種金鑰交換方法、搭配 TLS 1.2 等加密通訊協定使用時、可協助防止攻擊者解密用戶端和伺服器之間的所有網路工作階段。若要僅啟用 TLS 1.2 和 PFS 功能的加密套件、請使用進階權限層級的命令、 security config modify 如下列範例所示。

註 在變更 SSL 介面組態之前、請務必記住、當用戶端連線至 ONTAP 時、必須支援所述的加密器( DHE 、 ECDHE )。否則、不允許連線。 
cluster1::*> security config modify -interface SSL -supported-protocols TLSv1.2 -supported-cipher-suites PSK:DHE:ECDHE:!LOW:!aNULL:!EXP:!eNULL:!3DES:!kDH:!kECDH

請針對每個提示進行確認 y 。如需 PFS 的詳細資訊,請參閱 "此 NetApp 部落格"

從 ONTAP 9.11.1 和 TLS 1.3 支援開始、您可以驗證 FIPS 140-3 。

註 FIPS 組態適用於 ONTAP 和平台 BMC 。