Mode FIPS appliqué du serveur MID

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 4 minutes de lecture

    • Le serveur MID prend en charge l’environnement NSC (National Security Cloud) IL-5, qui exige que toutes les cryptoographies utilisées soient validées par FIPS. Le serveur MID peut être exécuté en mode FIPS appliqué, où seuls les algorithmes de chiffrement validés par FIPS sont utilisés.

    Indicateur de configuration pour la phase de sécuritéAssurez-vous que le serveur MID peut se connecter à des éléments à l’intérieur et à l’extérieur de votre réseauTélécharger et installer le serveur MID sur un hôte Linux ou WindowsConfigurez votre serveur MIDConfigurer la sécurité du serveur MIDAssurez-vous que le serveur MID peut se connecter à des éléments à l’intérieur et à l’extérieur de votre réseauTélécharger et installer le serveur MID sur un hôte Linux ou WindowsConfigurez votre serveur MIDConfigurer la sécurité du serveur MID

    Les normes fédérales de traitement de l’information sont un groupe de normes compilées par le National Institute of Standards and Technology pour une utilisation dans les systèmes informatiques. Il existe de nombreuses publications FIPS, mais pour les besoins de cette discussion, nous nous référons spécifiquement à la norme FIPS 140-2 : Exigences de sécurité pour les modules cryptographiques. Les algorithmes cryptographiques peuvent passer par un processus de validation spécifié par le NIST. Pour les besoins de notre nouvel environnement cloud sécurisé, le serveur MID utilisera des algorithmes qui ont été validés par ce processus.

    Seuls les serveurs MID de la famille Rome ou version ultérieure avec une version JRE de 11.0.9+11 ou ultérieure peuvent être configurés pour s’exécuter en mode FIPS appliqué.

    Mode FIPS appliqué

    Les algorithmes suivants ne sont pas disponibles pour être utilisés dans ces fonctions SSH par le serveur MID en mode FIPS appliqué.

    Échange de clés :
    Diffie-Hellman-Groupe1-SHA1
    Mac :
    • hmac-md5
    • hmac-md5-96

    Les restrictions suivantes sont maintenant en place pour SNMP afin une utilisation par le serveur MID en mode FIPS appliqué.

    • SNMP v1 et v2 sont complètement désactivés.
    • Pour SNMP v3, les utilisations de protocole suivantes ne sont pas autorisées par le serveur MID en mode FIPS appliqué :
      • protocole d’authentification : aucun ou MD5
      • Protocole de confidentialité : aucun ou DES

    Les autres fonctionnalités qui utilisent le serveur MID peuvent être affectées lorsqu’elles sont exécutées en mode FIPS appliqué. Veuillez consulter la documentation spécifique à cette fonctionnalité pour plus d’informations.

    Activer le mode FIPS appliqué du serveur MID

    Le serveur MID peut être exécuté en mode FIPS appliqué, où seuls les algorithmes de chiffrement validés par FIPS sont utilisés.

    Avant de commencer

    Rôle requis : admin

    Procédure

    1. Déployez un nouveau serveur MID ou mettez à niveau des serveurs MID existants vers la version de famille Rome ou une version ultérieure.
    2. Arrêtez le serveur MID.
    3. Exécutez le script groupé suivant fourni pour convertir le MID en mode FIPS appliqué :
      • Pour les hôtes Windows : > <répertoire d’installation MID>\agent\bin\scripts\set-fips-enforced-mode.bat sur
      • Pour les hôtes Linux : $ <répertoire d’installation MID>/agent/bin/scripts/set-fips-enforced-mode.sh sur
      La réussite sera enregistrée dans la console, y compris l’emplacement des fichiers modifiés et toutes les sauvegardes générées pendant le processus de conversion. En cas d’appel programmatique, la réussite est indiquée par un code de retour 0.
    4. Démarrez le serveur MID.

    Que faire ensuite

    Le mode d’exécution du MID peut être confirmé via deux méthodes :

    1. Vérifiez les journaux de l’agent après le démarrage et recherchez la ligne de journal suivante : Exécution en mode FIPS appliqué
    2. Vérifiez la table ecc_agent sur l’instance et recherchez la valeur de la colonne booléenne FIPS appliqué .

    Conversion manuelle du serveur MID en mode FIPS appliqué

    Le serveur MID peut être exécuté en mode FIPS appliqué, où seuls les algorithmes de chiffrement validés par FIPS sont utilisés.

    Avant de commencer

    Rôle requis : admin

    Pourquoi et quand exécuter cette tâche

    Pour convertir manuellement le serveur MID en mode FIPS appliqué tout en utilisant un JRE externe, vous devez effectuer les étapes suivantes lorsque le serveur MID est arrêté :

    • Convertissez le TrustStore du JRE en type BCFKS.

    • Définissez le type de magasin de clés par défaut du JRE sur BCFKS.

    • Définissez le marqueur FIPS Enforced Mode (Mode appliqué) dans le fichier de configuration du serveur MID.

    Procédure

    1. Convertissez le type de fichier cacerts du JRE en BCFKS à l’aide du Keytool Java avec une commande similaire à :
      $ keytool -importkeystore -srckeystore <source keystore path> -srcstoretype <source keystore type> -srcstorepass changeit -destkeystore <chemin d’accès du magasin de clés de destination> -deststoretype bcfks -deststorepass changeit -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath <chemin jar FIPS BouncyCastle>
      Remarque :
      Rome et les installations ultérieures du MID contiennent une jarre BouncyCastle adaptée à cet usage. Il peut être trouvé à l’adresse suivante : .../agent/lib/bc-fips.jar
    2. Le type de magasin de clés par défaut du JRE peut être défini dans le fichier < Répertoire d’installation JRE >\conf\security\java.security .
    3. Dans ce fichier, recherchez la ligne keystore.type et définissez sa valeur comme suit : keystore.type=bcfks
    4. Dans le fichier .../agent/conf/wrapper-override.conf du serveur MID, supprimez le commentaire de la ligne FIPS et définissez sa valeur sur true.
      La ligne doit se lire comme suit : wrapper.java.additional.106=-Dorg.bouncycastle.fips.approved_only=true