在此页面上
FIPS 模式概述
启用 FIPS 模式
联邦信息处理标准 (FIPS) 是美国联邦政府提供的标准,旨在实现计算系统之间的安全互操作性。这些标准包括各种类型信息的加密和通用代码,例如某些地理位置的紧急情况。
从版本 5.0.3 开始,ATP 设备提供 FIPS 支持,允许 ATP 设备在符合 FIPS 140-2 级别 1 的模式下运行。从此版本开始,ATP 设备可以在 FIPS 或非 FIPS 模式下运行。
使用 CLI 启用或禁用 FIPS 模式。在启用 FIPS 模式之前,应注意以下几点。
在群集部署中,所有系统都必须处于 FIPS 模式或不处于 FIPS 模式。这是由于模式之间设备密钥的计算方式不同。同样的限制也适用于 MCM 配置。
在启用 FIPS 模式之前,请确保核心/CM、辅助核心、收集器和其他 ATP 设备已成功升级到版本 5.0.3 或更高版本。启用 FIPS 模式将阻止非 FIPS 设备与核心/CM 设备通信或从核心/CM 设备升级。
FIPS 模式要求对密码和密钥进行比非 FIPS 模式更强的加密。请注意以下要求:
密码长度(CLI 和 UI)长度必须介于 10 到 20 个字符之间。密码不能使用常见的不安全条目作为密码的一部分,例如“密码”或“123456”。密码没有任何字符大写、小写或符号要求。
用户提供的 UI 私钥必须是 RSA、2048 位或更高。
用户提供的 UI 证书不能使用以下证书签名哈希算法:md2、mdc2、ripemd、md4、md5
启用 FIPS 模式后,上传到 ATP 设备核心/CM 的 PKCS#12 捆绑包需要高度加密。加密较弱的 PKCS#12 捆绑包无法解密,并且密钥对不会应用于 UI。使用 'openssl pkcs12' 命令创建 PKCS#12 捆绑包时,使用 PBE-SHA1-3DES 作为 keypbe 和 certpbe 参数。如果加密太弱,您可能会看到以下错误消息:“无法处理 SSL 证书:错误:无法从 PKCS#12 捆绑包中提取私钥。
如果不满足上述要求,则在运行命令以启用 FIPS 时,输出将指示您必须更正的问题。
对于现有已部署的设备,将设备置于 FIPS 模式时,系统可能会提示您重置 UI 和 CLI 密码。这是因为存储的密码经过哈希处理,无法确定这些密码是否符合 FIPS 要求。
在服务器模式下使用 CLI 启用 FIPS 模式,如下所示:
如果当前密码不符合上述 FIPS 要求,则必须在启用 FIPS 模式之前进行更改。
将 set fips
命令与以下选项一起使用以启用和禁用 FIPS:
eng-dhcp (server)# set fips
可用的选项包括:
level —Select FIPS 140-2 security level
off —Disable FIPS 140-2 settings
级别 1 目前仅是有效的入口。例如,使用以下命令打开 FIPS:
eng-dhcp (server)# set fips level 1
如果满足所有要求且命令成功,系统会提示您重新启动设备。FIPS 模式设置在重新启动后应用。
使用以下命令关闭 FIPS:
eng-dhcp (server)# set fips off
使用以下命令查看 FIPS 设置:
eng-dhcp (server)# show fips
使用以下命令查看 FIPS 问题:
eng-dhcp (diagnosis)# show fips errors
重置密码和密钥
要重置密码和密钥(准备启用 FIPS 模式或出于任何其他原因),请执行以下操作:
reset
在服务器模式下输入命令:
eng-dhcp(server)# reset
选项包括:
ui —Reset all UI settings and remove non-default UI users
passwords —Reset default CLI and UI passwords
keys —Regenerate internal keys and certificates
all —Reset passwords and keys
例如,使用以下命令重置密码和密钥:
eng-dhcp(server)# reset all
示例输出:
Update passphrases and default accounts ... Enter the current password of CLI admin: Enter the new password of CLI admin: Retype the new password of CLI admin: Password changed successfully! Enter the new password of the Central Manager UI account: Retype the new password of the Central Manager UI account: Password changed successfully! Enter new devicekey: securephrase3 Recreating internal keys/certificates (1/4) ... Recreating internal keys/certificates (2/4) ... Recreating internal keys/certificates (3/4) ... Regenerate the SSL self-signed certificate? (Yes/No)? Yes SSL Self-signed certificate re-generated successfully! Recreating internal keys/certificates (4/4) ... This will remove all UI configurations and UI users, except for the default admin user. All settings, including software/content update, RADIUS, SAML and GSS settings will be reset to the default settings. Proceed? (Yes/No)? Yes ----Restarting all services----
上述输出中的以下提示仅适用于核心/CM 或一体机设备。对于收集器和辅助内核,不会显示它们。
Enter the new password of the Central Manager UI account:
Retype the new password of the Central Manager UI account: Password changed successfully!
This will remove all user configurations and UI users, except for the default admin user.
Proceed? (Yes/No)? Yes