Fonctionnalités de sécurité CA ITCM › Cryptographie conforme à la norme FIPS › Avant de passer à un autre mode FIPS

Avant de passer à un autre mode FIPS

Avant de changer le mode FIPS de votre infrastructure CA ITCM, vous devez prendre en compte les conditions de fonctionnement dans les différents modes FIPS. Cette section répertorie les remarques et les conditions préalables qui s'appliquent avant de modifier le mode FIPS.

Utilisation de plusieurs modes FIPS

Les restrictions suivantes s'appliquent aux infrastructures CA ITCM qui fonctionnent dans plusieurs modes FIPS, avec certains composants en mode Préférence FIPS et d'autres en mode FIPS uniquement :

• Certaines fonctionnalités OSIM peuvent ne pas fonctionner correctement lorsque les composants suivants communiquent entre eux :
  • Gestionnaire de domaines en mode Préférence FIPS et serveur de modularité en mode FIPS uniquement
  • Gestionnaire d'entreprise en mode Préférence FIPS et gestionnaire de domaines en mode FIPS uniquement
• Echec de la communication entre les composants suivants :
  • Composants CA ITCM r12 et composants DSM en mode FIPS uniquement

Les remarques suivantes concernent la liaison d'un gestionnaire de domaines vers un gestionnaire d'entreprise :

• Vous pouvez relier uniquement des gestionnaires de domaines utilisant le mode FIPS uniquement à un gestionnaire d'entreprise utilisant le mode FIPS uniquement.
• Vous ne pouvez pas effectuer de liaison si les modes Préférence FIPS (prêt pour le mode FIPS uniquement) ou Préférence FIPS (erreur lors de ‑l'exécution de dsm_fips_conv) sont définis sur le gestionnaire de domaines ou d'entreprise.
• Si le mode Préférence FIPS est défini sur le gestionnaire d'entreprise, vous pouvez le relier à des gestionnaires de domaines configurés pour les modes Préférence FIPS ou hérités.

Mode Préférence FIPS et mode FIPS uniquement

Les opérations ou fonctionnalités suivantes ne sont pas prises en charge après le passage du mode Préférence FIPS au mode FIPS uniquement :

• Filtres de chiffrement PLAIN et CACRYPT pour le DTS
• Fonctionnalité ADT des transferts fiables et des domaines DTS
• Transfert DTS utilisant la multidiffusion ou la diffusion vers un groupe d'ordinateurs fonctionnant à la fois en mode FIPS uniquement et en mode hérité
• Création et ouverture de fichiers DNA chiffrés à l'aide d'un mot de passe
• Utilisation d'un environnement d'exploitation hérité et d'images de démarrage qui n'ont pas encore été mis à niveau Pour plus d'informations sur la mise à niveau d'images, consultez le Manuel d'administration du système de gestion des installations de systèmes d'exploitation.

Configuration requise

Vous devez vérifier que vous avez effectué les opérations suivantes avant de passer à un autre mode FIPS :

• Si vous procédez à la mise à niveau d'un cluster, désactivez le démarrage automatique de CA ITCM sur tous les noeuds d'un cluster avant de le mettre à niveau. Vous pouvez activer les services une fois que tous les noeuds du cluster ont été mis à niveau.
• Fermez toutes les instances de l'explorateur DSM (local et distant), de la console Web et des sessions CLI lorsque vous exécutez l'utilitaire de conversion ; ouvrez de nouvelles instances de ces éléments uniquement lorsque l'exécution de l'utilitaire de conversion a pris fin.
• Vérifiez que toutes les stratégies de configuration des gestionnaires d'entreprise et de domaines sont scellées.