Erzwungener Modus für MID-Server-FIPS

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Der MID-Server unterstützt die IL-5-Umgebung National Security Cloud (NSC), die eine FIPS-Validierung aller verwendeten Kryptografie erfordert. Der MID-Server kann im erzwungenen FIPS-Modus ausgeführt werden, in dem nur kryptografische Algorithmen verwendet werden, die FIPS-validiert sind.

    Einrichtungsindikator für SicherheitsphaseSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurierenSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurieren

    Die Federal Information Processing Standards sind eine Gruppe von Standards, die vom National Institute of Standards and Technology für die Verwendung in Computersystemen zusammengestellt werden. Es gibt viele FIPS-Veröffentlichungen, aber aus Gründen dieser Diskussion beziehen wir uns speziell auf FIPS 140-2: Sicherheitsanforderungen für kryptografische Module . Kryptografische Algorithmen können einen vom NIST angegebenen Validierungsprozess durchlaufen. Für die Zwecke unserer neuen sicheren Cloud-Umgebung verwendet der MID-Server Algorithmen, die von einem solchen Prozess validiert wurden.

    Nur MID-Server der Rome-Releasefamilie oder höher mit einer JRE-Version von 11.0,9+11 oder höher können so festgelegt werden, dass sie im erzwungenen FIPS-Modus ausgeführt werden.

    Erzwungener FIPS-Modus

    Die folgenden Algorithmen sind für die Verwendung in diesen SSH-Funktionen durch den MID-Server im erzwungenen FIPS-Modus nicht verfügbar.

    Schlüsselaustausch:
    diffie-hellman-group1-sha1
    Mac:
    • hmac-md5
    • hmac-md5-96

    Die folgenden Einschränkungen gelten jetzt für SNMP zur Verwendung durch den MID-Server im erzwungenen FIPS-Modus.

    • SNMP v1 und v2 sind vollständig deaktiviert.
    • Für SNMP v3 sind die folgenden Protokollverwendungen vom MID-Server im erzwungenen FIPS-Modus nicht zulässig:
      • Authentifizierungsprotokoll: Keine oder MD5
      • Datenschutzprotokoll: Keine oder DES

    Andere Funktionen, die den MID-Server verwenden, können betroffen sein, wenn sie im erzwungenen FIPS-Modus ausgeführt werden. Weitere Informationen finden Sie in der spezifischen Dokumentation dieser Funktionalität.

    Aktivieren Sie den erzwungenen Modus für MID-Server-FIPS

    Der MID-Server kann im erzwungenen FIPS-Modus ausgeführt werden, in dem nur kryptografische Algorithmen verwendet werden, die FIPS-validiert sind.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Prozedur

    1. Stellen Sie einen neuen MID-Server bereit, oder aktualisieren Sie vorhandene MID-Server auf das Rome-Familienrelease oder höher.
    2. Fahren Sie den MID-Server herunter.
    3. Führen Sie das folgende gebündelte Skript aus, das bereitgestellt wird, um MID so zu konvertieren, dass sie im erzwungenen FIPS-Modus ausgeführt wird:
      • Für Windows-Hosts: > <MID-Installationsverzeichnis>\Agent\bin\scripts\set-fips-enforced-mode.bat auf
      • Für Linux-Hosts: $ <MID-Installationsverzeichnis>/Agent/bin/scripts/set-fips-enforced-mode.sh auf
      Erfolg wird in der Konsole protokolliert, einschließlich des Speicherorts der geänderten Dateien und aller während des Konvertierungsprozesses generierten Sicherungen. Wenn programmgesteuert aufgerufen, wird der Erfolg durch einen 0-Rückgabecode angezeigt.
    4. Starten Sie den MID-Server.

    Nächste Maßnahme

    Der Modus, in dem der MID ausgeführt wird, kann mit zwei Methoden bestätigt werden:

    1. Überprüfen Sie die Mitarbeiterprotokolle nach dem Start, und suchen Sie nach der folgenden Protokollzeile: Wird im erzwungenen FIPS-Modus ausgeführt
    2. Überprüfen Sie die Tabelle „ecc_Agent“ in der Instanz, und suchen Sie nach dem Wert von FIPS erzwungen boolesche Spalte.

    Konvertieren Sie den MID-Server manuell in den erzwungenen FIPS-Modus

    Der MID-Server kann im erzwungenen FIPS-Modus ausgeführt werden, in dem nur kryptografische Algorithmen verwendet werden, die FIPS-validiert sind.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Warum und wann dieser Vorgang ausgeführt wird

    Um den MID-Server bei Verwendung einer externen JRE manuell in den erzwungenen FIPS-Modus zu konvertieren, müssen Sie die folgenden Schritte ausführen, während der MID-Server heruntergefahren wird:

    • Konvertieren Sie den TrustStore der JRE in den BCFKS-Typ.

    • Legen Sie den Standardschlüsselspeichertyp der JRE auf BCFKS fest.

    • Legen Sie die Kennzeichnung für erzwungenen FIPS-Modus in der Konfigurationsdatei des MID-Servers fest.

    Prozedur

    1. Konvertieren Sie den Cacerts-Dateityp der JRE in BCFKS, indem Sie verwenden Java-Keytool Mit einem Befehl ähnlich wie:
      $ keytool – Importkeystore – srckeystore <source keystore path>-Srcstoretype <source keystore type>-Srcstorepass changeit -destkeystore <Zielschlüsselspeicher-Pfad> -Deststoretype BCFKS -deststorepass changeit -Provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath <BouncyCastle-FIPS-JAR-Pfad>
      Hinweis:
      MID-Installationen in Rom und späteren Versionen enthalten ein BouncyCastle-JAR, das für diesen Zweck geeignet ist. Sie finden Sie unter: …/Agent/lib/bc-fips.jar
    2. Der Standardschlüsselspeichertyp der JRE kann in festgelegt werden <JRE-Installationsverzeichnis>\conf\Security\java.security Datei.
    3. Suchen Sie in dieser Datei nach Schlüsselspeicher.Typ Linie und legen Sie ihren Wert wie folgt fest: Keystore.type=bcfks
    4. In den MID-Servern …/Agent/conf/Wrapper-override.conf Datei, heben Sie den Kommentar der FIPS-Zeile auf, und legen Sie ihren Wert auf „wahr“ fest.
      Die Zeile muss lauten: Wrapper.Java.additional.106=-Dorg.bouncycastle.fips.approved_only=wahr