第 14 章 FIPS 140-2 支持


Federal Information Processing Standard Publication 140-2 (FIPS 140-2)是一个用来批准加密模块的美国政府计算机安全标准。红帽构建的 Keycloak 支持在 FIPS 140-2 兼容模式下运行。在这种情况下,红帽构建的 Keycloak 只会对它的功能使用 FIPS 批准的加密算法。

要在 FIPS 140-2 中运行,红帽构建的 Keycloak 应该在启用了 FIPS 140-2 的系统中运行。这个要求通常假定在安装过程中启用了 FIPS 的 RHEL 或 Fedora。详情请查看 RHEL 文档。当系统处于 FIPS 模式时,它会确保底层 OpenJDK 处于 FIPS 模式,且只使用 启用了 FIPS 的安全供应商

要检查系统是否处于 FIPS 模式,您可以从命令行使用以下命令检查它:

fips-mode-setup --check
Copy to Clipboard Toggle word wrap

如果系统没有处于 FIPS 模式,您可以使用以下命令启用它,但建议系统处于 FIPS 模式,因为安装而不是在以后以这种方式启用:

fips-mode-setup --enable
Copy to Clipboard Toggle word wrap

14.1. BouncyCastle library

红帽构建的 Keycloak 在内部将 BouncyCastle 库用于很多加密工具。但是,红帽构建的 Keycloak 附带的 BouncyCastle 库的默认类别不符合 FIPS,但 BouncyCastle 还提供 FIPS 验证的版本。由于许可证限制,红帽构建的 Keycloak 无法附带 FIPS 验证的 BouncyCastle 库,红帽构建的 Keycloak 无法提供对它的官方支持。因此,若要以 FIPS 兼容模式运行,您需要下载 BouncyCastle-FIPS 位,并将它们添加到 Keycloak 发行版本的红帽构建中。当红帽构建的 Keycloak 在 fips-mode 中执行时,它将使用 BCFIPS 位而不是默认的 BouncyCastle 位,它实现了 FIPS 合规性。

14.1.1. BouncyCastle FIPS 位

BouncyCastle FIPS 可以从 BouncyCastle 官方页面 下载。然后,您可以将其添加到发行版的 KEYCLOAK_HOME/providers 目录中。确保使用正确的版本与 BouncyCastle Keycloak 依赖项兼容。所需的 BCFIPS 位是:

  • bc-fips-1.0.2.3.jar
  • bctls-fips-1.0.16.jar
  • bcpkix-fips-1.0.7.jar
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat