Erzwungener MID-Server-FIPS-Modus

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 3 Minuten Lesedauer

    • Der MID-Server unterstützt die IL-5-Umgebung (National Security Cloud, NSC), die eine FIPS-Validierung aller verwendeten Kryptografie erfordert. Der MID-Server kann im erzwungenen FIPS-Modus ausgeführt werden, in dem nur kryptografische Algorithmen verwendet werden, die FIPS validiert sind.

    Richten Sie den Indikator für die Sicherheitsphase einSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannLaden Sie den MID-Server herunter, und installieren Sie ihn auf einem Linux- oder Windows-HostMID Server konfigurierenSicherheit des MID Servers konfigurierenSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannLaden Sie den MID-Server herunter, und installieren Sie ihn auf einem Linux- oder Windows-HostMID Server konfigurierenSicherheit des MID Servers konfigurieren

    Die Bundesinformationsverarbeitungsstandards sind eine Gruppe von Standards, die vom National Institute of Standards and Technology für die Verwendung in Computersystemen zusammengestellt werden. Es gibt viele FIPS-Veröffentlichungen, aber aus Gründen dieser Diskussion beziehen wir uns speziell auf diese FIPS 140-2: Sicherheitsanforderungen für kryptografische Module . Kryptografische Algorithmen können einen vom NIST angegebenen Validierungsprozess durchlaufen. Für die Zwecke unserer neuen sicheren Cloud-Umgebung verwendet der MID-Server Algorithmen, die von einem solchen Prozess validiert wurden.

    Nur MID-Server der Rom-Releasefamilie oder höher mit einer JRE-Version von 11.0,9+11 oder höher können so festgelegt werden, dass sie im erzwungenen FIPS-Modus ausgeführt werden.

    Erzwungener FIPS-Modus

    Die folgenden Algorithmen sind nicht für die Verwendung in diesen SSH-Funktionen durch den MID-Server im erzwungenen FIPS-Modus verfügbar.

    Schlüsselaustausch:
    diffie-hellman-group1-sha1
    Mac:
    • hmac-md5
    • hmac-md5-96

    Die folgenden Einschränkungen gelten jetzt für SNMP zur Verwendung durch den MID-Server im erzwungenen FIPS-Modus.

    • SNMP v1 und v2 sind vollständig deaktiviert.
    • Für SNMP v3 sind die folgenden Protokollverwendungen vom MID-Server im erzwungenen FIPS-Modus nicht zulässig:
      • Authentifizierungsprotokoll: Keine oder MD5
      • Datenschutzprotokoll: Keine oder DES

    Andere Funktionen, die den MID-Server verwenden, können betroffen sein, wenn sie im erzwungenen FIPS-Modus ausgeführt werden. Weitere Informationen finden Sie in der spezifischen Dokumentation dieser Funktionalität.

    Aktivieren Sie den erzwungenen MID-Server-FIPS-Modus

    Der MID-Server kann im erzwungenen FIPS-Modus ausgeführt werden, in dem nur kryptografische Algorithmen verwendet werden, die FIPS validiert sind.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Prozedur

    1. Stellen Sie einen neuen MID-Server bereit, oder aktualisieren Sie vorhandene MID-Server auf das Release der Rom-Familie oder höher.
    2. Fahren Sie den MID-Server herunter.
    3. Führen Sie das folgende gebündelte Skript aus, das bereitgestellt wird, um den MID so zu konvertieren, dass er im erzwungenen FIPS-Modus ausgeführt wird:
      • Für Windows-Hosts: > <MID-Installationsverzeichnis>\Agent\bin\scripts\set-fips-enforced-mode.bat auf
      • Für Linux-Hosts: $ <MID-Installationsverzeichnis>/Agent/bin/scripts/set-fips-enforced-mode.sh auf
      Erfolg wird in der Konsole protokolliert, einschließlich des Speicherorts der geänderten Dateien und aller während des Konvertierungsprozesses generierten Sicherungen. Wenn programmgesteuert aufgerufen, wird der Erfolg durch einen 0-Rückgabecode angezeigt.
    4. Starten Sie den MID-Server.

    Nächste Maßnahme

    Der Modus, in dem der MID ausgeführt wird, kann mit zwei Methoden bestätigt werden:

    1. Überprüfen Sie die Agenten-Protokolle nach dem Start, und suchen Sie nach der folgenden Protokollzeile: Wird im erzwungenen FIPS-Modus ausgeführt
    2. Überprüfen Sie die Tabelle „ecc_Agent“ in der Instanz, und suchen Sie nach dem Wert von FIPS erzwungen boolesche Spalte.

    Konvertieren Sie den MID-Server manuell in den erzwungenen FIPS-Modus

    Der MID-Server kann im erzwungenen FIPS-Modus ausgeführt werden, in dem nur kryptografische Algorithmen verwendet werden, die FIPS-validiert sind.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Warum und wann dieser Vorgang ausgeführt wird

    Um den MID-Server bei Verwendung einer externen JRE manuell in den erzwungenen FIPS-Modus zu konvertieren, müssen Sie die folgenden Schritte ausführen, während der MID-Server heruntergefahren wird:

    • Konvertieren Sie den TrustStore der JRE in den BCFKS-Typ.

    • Legen Sie den standardmäßigen Schlüsselspeichertyp der JRE auf BCFKS fest.

    • Legen Sie die Kennzeichnung für erzwungenen FIPS-Modus in der Konfigurationsdatei des MID-Servers fest.

    Prozedur

    1. Konvertieren Sie den Cacerts-Dateityp der JRE in BCFKS, indem Sie verwenden Java-Schlüsseltool Mit einem Befehl ähnlich wie:
      $ keytool -importkeystore -srckeystore <source keystore path>-Srcstoretype <source keystore type>-Srcstorepass changeit -destkeystore <Zielschlüsselspeicherpfad> -Deststoretype BCFKS -deststorepass changeit -Provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath <BouncyCastle-FIPS-JAR-Pfad>
      Hinweis:
      MID-Installationen in Rom und später enthalten ein BouncyCastle-JAR, das für diesen Zweck geeignet ist. Sie finden Sie unter: …/Agent/lib/bc-fips.jar
    2. Der standardmäßige Schlüsselspeichertyp der JRE kann in festgelegt werden <JRE-Installationsverzeichnis>\conf\Security\java.security Datei.
    3. Suchen Sie in dieser Datei nach Schlüsselspeicher.Typ Zeile und legen Sie ihren Wert wie folgt fest: Keystore.type=bcfks
    4. Auf den MID-Servern …/Agent/conf/Wrapper-override.conf Datei, heben Sie den Kommentar der FIPS-Zeile auf, und legen Sie ihren Wert auf „wahr“ fest.
      Die Zeile muss lauten: Wrapper.Java.additional.106=-Dorg.bouncycastle.fips.approved_only=wahr