ユーザの CA ITCM インフラストラクチャの FIPS モードを変更するには、デフォルト設定ポリシー内の FIPS 関連ポリシーを変更する必要があります。 これらのポリシーは、切り替える先の FIPS モード、および FIPS モードを切り替える前に実行すべきアクションを決定します。
エンタープライズ マネージャがある場合は、エンタープライズ マネージャ上で以下の手順を実行します。 ポリシー変更は、この場合、すべての関連するドメイン マネージャ、スケーラビリティ サーバおよびエージェントに自動的に伝達されます。 エンタープライズ マネージャがない場合は、すべてのドメイン マネージャ上で以下の手順を実行します。
注: マネージャの FIPS モードが FIPS 推奨 (FIPS ‑のみモード準備済み)である場合のみ、このタスクを実行します。
FIPS モードを変更するポリシーの変更方法
ポリシーが封印解除され、更新の準備ができます。
注: カスタム設定ポリシーを使用して FIPS モードを変更することはお勧めしません。
FIPS 準拠レベルを定義します。 切り替える先の FIPS モードを指定するために、この設定を変更します。
FIPS 140 設定の変更時に実行するアクションを定義します。
注: これらの設定のポリシー値の詳細については、「DDSM エクスプローラ ヘルプ」を参照してください。
ポリシー変更はすべての関連する DSM コンポーネントに伝達されます。 このプロセスは、ユーザの CA ITCM インフラストラクチャのサイズに応じて、少し時間がかかります。
注: 管理対象外エージェントとは、どのドメイン マネージャにもリンクされていないエージェントです。 後で、管理対象外エージェントをドメイン マネージャにリンクすると、エージェントの FIPS モードがドメイン マネージャの FIPS モードによって無効化されます。
FIPS モードを手動で変更するには、以下のコマンドを使用します。
ccnfcmda –cmd setparametervalue –ps /itrm/common/security/fips140 –pn installmode –v FIPS_MODE
FIPS モードを指定します。 FIPS 推奨モードの場合は 1、FIPS のみモードの場合は 2 を指定します。
コマンドが正常に実行される場合、指定された FIPS モードはエージェント上で設定されます。
注: スタンドアロン DSM エクスプローラおよび DSM レポータは特定の設定を必要としません。これは、DSM エージェントが常にこれらの 2 つのコンポーネントのスタンドアロン インストールと共にインストールされるためです‑ この場合、エージェントは、マネージャからのポリシー更新を自動的に受信します。
caf stop caf start
caf の再起動後、マネージャは新しい FIPS モードで動作します。
GUI で更新された FIPS モードが利用可能になります。
この検証によって、切り替えが成功します。
注: 変換ユーティリティが正常に実行されなかった場合、マネージャの FIPS モードは FIPS 推奨 (dsm_fips_conv の実行中にエラーが発生しました) のままになります。
|
Copyright © 2013 CA.
All rights reserved.
|
|