FIPSモードの設定

この手順はオプションです。HPE OneViewアプライアンスがFIPSモードで構成されている場合、外部レポジトリも構成する必要があります。

手順
  1. OpenSSL、mod_ssl、およびOpenSSLへのApacheインターフェイスを取得します。

    yum install mod_ssl openssl

  2. サブジェクト代替名(SAN)フィールドとLinux外部レポジトリのIPアドレスを/etc/pki/tls/openssl.cnf[v3_req]というタイトルのセクションに追加します。

    IPv4レポジトリの場合、[v3_req]は次の例のようになります。

    [v3_req]

# Extensions to add to a certificate request

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = IP:172.20.5.55

    IPv6レポジトリの場合、DNS属性のIPv6アドレスをカッコとともに追加します。

    例:subjectAltName DNS=[1::3] IP=1::3

    [v3_req]は、次の例のようになります。

    [v3_req]

# Extensions to add to a certificate request

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName DNS=[1::3] IP=1::3
  3. WebサーバーのSSL証明書を生成します。CNFQDNまたはIPアドレスに設定します。 
    openssl genrsa -out key.pem 2048
openssl req -new  -sha256 -key key.pem -out certreq.csr -subj '/CN=<IP address>/C=US/ST=State/L=City/O=Customer/OU=IT'
openssl req -x509  -sha256 -key key.pem -out cert.pem -nodes -days 3650 -extensions v3_req -in certreq.csr
  4. /etc/httpd/conf.d/ssl.confをアップデートして、FIPSモードで許可されているプロトコルを設定します。 
    #SSLProtocol all -SSLv2 -SSLv3
SSLProtocol  -all +TLSv1.1 +TLSv1.2
  5. /etc/httpd/conf.d/ssl.confをアップデートして、暗号スイートを設定します。 
    # SSL Cipher Suite:
# List the ciphers that the client is permitted to negotiate.
# See the mod_ssl documentation for a complete list.
#SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA
#SSLCipherSuite ECDHE-ECDSA-AES256-SHA:HIGH:MEDIUM:!aNULL:!MD5
 
#Setup cipher suites to work with OV in FIPS mode
SSLCipherSuite ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDH-ECDSA-AES256-SHA384:ECDH-ECDSA-AES256-CM-HA384:ECDH-RSA-AES256-SHA384:ECDH-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:AES256-SHA256:AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA:ECDH-ECDSA-AES128-SHA256:ECDH-ECDSA-AES128-GCM-SHA256:ECDH-RSA-AES128-SHA256:ECDH-RSA-AES128-GCM-SHA256:AES128-SHA256:AES128-GCM-SHA256:AES256-SHA:AES128-SHA
  6. 生成された証明書とキーを正しい場所にコピーします。

    cp cert.pem /etc/pki/tls/certs/localhost.crt

    cp key.pem /etc/pki/tls/private/localhost.key

  7. Apache httpd Webサーバーを再起動します。

    service httpd restart

  8. ブラウザーを使用してWebサーバーに接続します。自己署名証明書を使用した場合は、証明書エラーが表示されます。続行するには、証明書の例外を受け入れ、CNの一致を確認します。
  9. オプション。OS(CentOS)でFIPSモードを有効にして、OSを再起動します。

    echo1 >> /proc/sys/crypto/fips_enabled