FIPS 模式概述

启用 FIPS 模式

联邦信息处理标准（FIPS）是美国联邦政府提供的标准，旨在实现计算系统之间的安全互操作性。这些标准包括各种类型信息的加密和通用代码，例如某些地理位置的紧急情况。

从版本 5.0.3 开始，ATP 设备提供 FIPS 支持，允许 ATP 设备在符合 FIPS 140-2 级别 1 的模式下运行。从此版本开始，ATP 设备可以在 FIPS 或非 FIPS 模式下运行。

使用 CLI 启用或禁用 FIPS 模式。在启用 FIPS 模式之前，应注意以下几点。

在群集部署中，所有系统都必须处于 FIPS 模式或不处于 FIPS 模式。这是由于模式之间设备密钥的计算方式不同。同样的限制也适用于 MCM 配置。
在启用 FIPS 模式之前，请确保核心/CM、辅助核心、收集器和其他 ATP 设备已成功升级到版本 5.0.3 或更高版本。启用 FIPS 模式将阻止非 FIPS 设备与核心/CM 设备通信或从核心/CM 设备升级。
FIPS 模式要求对密码和密钥进行比非 FIPS 模式更强的加密。请注意以下要求：
- 密码长度（CLI 和 UI）长度必须介于 10 到 20 个字符之间。密码不能使用常见的不安全条目作为密码的一部分，例如“密码”或“123456”。密码没有任何字符大写、小写或符号要求。
- 用户提供的 UI 私钥必须是 RSA、2048 位或更高。
- 用户提供的 UI 证书不能使用以下证书签名哈希算法：md2、mdc2、ripemd、md4、md5
- 启用 FIPS 模式后，上传到 ATP 设备核心/CM 的 PKCS#12 捆绑包需要高度加密。加密较弱的 PKCS#12 捆绑包无法解密，并且密钥对不会应用于 UI。使用 'openssl pkcs12' 命令创建 PKCS#12 捆绑包时，使用 PBE-SHA1-3DES 作为 keypbe 和 certpbe 参数。如果加密太弱，您可能会看到以下错误消息：“无法处理 SSL 证书：错误：无法从 PKCS#12 捆绑包中提取私钥。

注意：

如果不满足上述要求，则在运行命令以启用 FIPS 时，输出将指示您必须更正的问题。

警告：

对于现有已部署的设备，将设备置于 FIPS 模式时，系统可能会提示您重置 UI 和 CLI 密码。这是因为存储的密码经过哈希处理，无法确定这些密码是否符合 FIPS 要求。

在服务器模式下使用 CLI 启用 FIPS 模式，如下所示：

注意：

如果当前密码不符合上述 FIPS 要求，则必须在启用 FIPS 模式之前进行更改。

将 set fips 命令与以下选项一起使用以启用和禁用 FIPS：

可用的选项包括：

level —Select FIPS 140-2 security level

off —Disable FIPS 140-2 settings

级别 1 目前仅是有效的入口。例如，使用以下命令打开 FIPS：

注意：

如果满足所有要求且命令成功，系统会提示您重新启动设备。FIPS 模式设置在重新启动后应用。

使用以下命令关闭 FIPS：

使用以下命令查看 FIPS 设置：

使用以下命令查看 FIPS 问题：

要重置密码和密钥（准备启用 FIPS 模式或出于任何其他原因），请执行以下操作：

reset在服务器模式下输入命令：

eng-dhcp(server)# reset

选项包括：

ui —Reset all UI settings and remove non-default UI users

passwords —Reset default CLI and UI passwords

keys —Regenerate internal keys and certificates

all —Reset passwords and keys

例如，使用以下命令重置密码和密钥：

eng-dhcp(server)# reset all

示例输出：

注意：

上述输出中的以下提示仅适用于核心/CM 或一体机设备。对于收集器和辅助内核，不会显示它们。

Enter the new password of the Central Manager UI account:

Retype the new password of the Central Manager UI account: Password changed successfully!

This will remove all user configurations and UI users, except for the default admin user.

Proceed? (Yes/No)? Yes