在集群范围内为 KMIP 服务器连接启用 FIPS 合规性模式

您可以使用具有 -is-fips-enabled 选项的 security config modify 命令针对集群范围内的动态数据启用 FIPS 合规性模式。这样可在连接到 KMIP 服务器时强制集群在 FIPS 模式下使用 OpenSSL。

开始之前

必须以 FIPS 合规性模式配置存储控制器。
所有 KMIP 服务器必须均支持 TLSv1.2。如果在集群范围内启用了 FIPS 合规性模式，系统需要 TLSv1.2 来完成与 KMIP 服务器的连接。

关于本任务

如果在集群范围内启用了 FIPS 合规性模式，集群将自动仅使用 TLS1.2 和经 FIPS 验证的密码套件。默认情况下会禁用集群范围内的 FIPS 合规性模式。

修改了集群范围内的安全配置后，必须手动重新启动集群节点。

将权限级别设置为高级：set -privilege advanced

验证是否支持 TLSv1.2：security config show -supported-protocols

有关完整的命令语法，请参阅手册页。

示例

cluster1::> security config show
          Cluster                                              Cluster Security
Interface FIPS Mode  Supported Protocols     Supported Ciphers Config Ready
--------- ---------- ----------------------- ----------------- ----------------
SSL       false      TLSv1.2, TLSv1.1, TLSv1 ALL:!LOW:         yes
                                             !aNULL:!EXP:
                                             !eNULL

启用集群范围内的 FIPS 合规性模式：security config modify -is-fips-enabled true -interface SSL
有关完整的命令语法，请参阅手册页。
手动重新启动集群节点。

验证集群范围内的 FIPS 合规性模式是否已启用：security config show

示例

cluster1::> security config show
          Cluster                                              Cluster Security
Interface FIPS Mode  Supported Protocols     Supported Ciphers Config Ready
--------- ---------- ----------------------- ----------------- ----------------
SSL       true       TLSv1.2, TLSv1.1        ALL:!LOW:         yes
                                             !aNULL:!EXP:
                                             !eNULL:!RC4

提供反馈