Vorheriges Thema: Ausführen des KonvertierungshilfsprogrammsNächstes Thema: Prüfen Sie den FIPS-Modus von DSM-Komponenten

Client Automation-SicherheitsfunktionenFIPS-konforme KryptographieÄndern Sie die Konfigurationsrichtlinie, um den FIPS-Modus zu ändern

Ändern Sie die Konfigurationsrichtlinie, um den FIPS-Modus zu ändern

Sie müssen die Richtlinien zu "FIPS-bevorzugt" in der Standardkonfigurationsrichtlinie ändern, um den FIPS-Modus Ihrer Client Automation-Infrastruktur zu ändern. Diese Richtlinien bestimmen den FIPS-Modus, in den Sie wechseln möchten, und was zu tun ist, bevor man den FIPS-Modus wechselt.

Wenn Sie einen Enterprise Manager haben, führen Sie die folgenden Schritte auf dem Enterprise Manager aus. Die Richtlinienänderungen werden in diesem Fall automatisch an alle zugeordneten Domänen-Managern, Scalability-Server, und Agenten verbreitet. Wenn Sie keinen Enterprise Manager haben, führen Sie die folgenden Schritte auf allen Domänen-Managern aus.

Hinweis: Führen Sie diese Aufgabe nur aus, wenn der FIPS-Modus des Managers "FIPS-bevorzugt" (Bereit für Nur‑FIPS)" ist.

So ändern Sie die Konfigurationsrichtlinie, um den FIPS-Modus zu ändern

  1. Navigieren Sie zu "Systemsteuerung", "Konfigurationsrichtlinie," klicken Sie mit der rechten Maustaste auf "Standardkonfigurationsrichtlinie" und "Un-Seal".

    Die Versiegelung der Richtlinie wird aufgehoben und sie ist bereit für Aktualisierungen.

    Hinweis: Es wird davon abgeraten, den FIPS-Modus durch benutzerdefinierte Konfigurationsrichtlinien zu ändern.

  2. Navigieren Sie nach DSM, Common Components, Sicherheit, FIPS 140-Einstellungen und ändern die folgenden Richtlinien:
    FIPS 140-Einstellung

    Definiert den FIPS-Compliance-Level. Ändern Sie diese Einstellung, um den FIPS-Modus anzugeben, in den Sie wechseln möchten.

    Aktion ändern

    Definiert die auszuführenden Aktionen, wenn die FIPS 140-Richtlinie geändert wird.

    Hinweis: Weitere Informationen zu den Werten für die Einstellungen dieser Richtlinie finden Sie in der DSM Explorer-Hilfe.

  3. Versiegeln Sie die Richtlinie auf dem Manager. Weitere Informationen zur Versiegelung der Richtlinie finden Sie im Abschnitt "Konfigurationsrichtlinie" der DSM-Explorer Hilfe.

    Die Richtlinienänderungen werden an alle zugeordneten DSM-Komponenten verbreitet. Dieser Prozess erfordert je nach der Größe Ihrer Client Automation-Infrastruktur einige Zeit.

  4. Ändern Sie den FIPS-Modus der folgenden Komponenten manuell, da die Richtlinienänderungen nicht automatisch an diese Komponenten verbreitet werden:

    Um den FIPS-Modus manuell zu verändern, verwenden Sie den folgenden Befehl:

    ccnfcmda -cmd setparametervalue -ps /itrm/common/security/fips140 -pn installmode -v FIPS_MODE
    FIPS_MODE

    Legt den FIPS-Modus fest. Geben Sie 1 für den Modus "FIPS-bevorzugt" und 2 für den Modus "nur-FIPS" ein.

    Wenn der Befehl erfolgreich ausgeführt wird, wird der angegebene FIPS-Modus auf dem Agenten festgelegt.

    Hinweis: Eigenständige DSM-Explorer und DSM-Reporter benötigen keine spezifische Konfiguration, da der DSM-Agent immer mit der eigenständigen‑ Installation dieser beiden Komponenten installiert wird. Die Agenten erhalten in diesem Fall automatisch die Richtlinienaktualisierung vom Manager.

  5. Führen Sie den folgenden Befehl auf allen DSM-Komponenten aus, wenn Sie die Standardeinstellung der Change-Aktionsrichtlinie nicht geändert haben oder wenn Sie sie auf "FIPS-Modus beim nächsten Neustart von ITCM wechseln" festgelegt haben: 
    caf stop
caf start

    Nachdem der CAF neu gestartet wurde, funktioniert der Manager im neuen FIPS-Modus.

  6. Starten Sie alle Instanzen von DSM-Explorer, DSM-Reporter und Webkonsole neu.

    Der aktualisierte FIPS-Modus ist jetzt im GUI verfügbar.

  7. Überprüfen Sie, ob der FIPS-Modus der Agenten und Manager in den erforderlichen FIPS-Modus geändert wurden.

    Die Überprüfung stellt sicher, dass der Wechsel erfolgreich war.

    Hinweis: Wenn das Konvertierungshilfsprogramm nicht erfolgreich ausgeführt wird, bleibt der FIPS-Modus des Managers "FIPS-bevorzugt" (Fehler beim Ausführen von dsm_fips_conv).