Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

启用 FIPS 模式

在交换机上安装 Junos OS 时,FIPS 模式不会自动启用。

作为密码主管,您必须将 FIPS 级别设置为 1(一),这是 EX 系列交换机和 QFX 系列交换机获得认证的 FIPS 140-2 级别,从而在交换机上显式启用 FIPS 模式。未启用 FIPS 模式的交换机的 FIPS 级别为 0(零)。

注意:

要转换为 FIPS 模式,必须使用符合 FIPS 的哈希算法对密码进行加密。不满足此要求的密码(如使用 MD5 进行哈希处理的密码)必须重新配置或从配置中删除,然后才能启用 FIPS 模式。

要在交换机上的 Junos OS 中启用 FIPS 模式,请执行以下操作:

  1. 在进入 FIPS 模式之前,将交换机归零以删除所有 CSP。
  2. 交换机以健忘模式启动后,使用控制台登录,用户名为 root 和密码(空白)。
  3. 使用至少 10 个字符或以上的密码配置 root 身份验证。
  4. 加载配置以交换并提交新配置。
  5. 配置 Crypto Officer 并使用 Crypto Officer 凭据登录。
  6. 通过设置 set system fips level 1 命令后跟 commit 命令来配置机箱边界 fips。
    注意:

    设备可能会显示警告,要求删除已加载配置中的旧 CSP - 必须重新配置加密密码才能使用符合 FIPS 的哈希。
  7. 删除并重新配置 CSP 后,提交成功,交换机需要重新启动才能进入 FIPS 模式。
  8. 重新启动交换机后,将运行 FIPS 自检,交换机进入 FIPS 模式。
注意:

对 FIPS 模式下的操作命令使用 本地 关键字。例如、 show version localshow system uptime local