附录 C. RHEL 8 中加密密钥的位置
升级在联邦信息处理标准(FIPS)模式下运行的系统后,您必须重新生成,并确保所有加密密钥的 FIPS 合规性。下表中列出了此类密钥的一些已知位置。请注意,该列表没有完成,您也可以检查其他位置。
Application(应用程序) | 密钥位置 | 备注 |
---|---|---|
Apache mod_ssl |
|
如果 |
Bind9 RNDC |
|
|
Cyrus IMAPd |
|
|
DNSSEC-Trigger |
|
|
Dovecot |
|
|
OpenPegasus |
|
|
OpenSSH |
|
Ed25519 和 DSA 密钥不符合 FIPS。 |
Postfix |
|
|
RHEL web 控制台 |
|
Web 控制台运行 |
sendmail |
|
|
要确保对第三方应用程序的加密密钥的 FIPS 合规性,请参阅相应应用程序的对应文档。另外:
打开端口的任何服务都可以使用 TLS 证书。
- 并非所有服务都会自动生成加密密钥,但许多默认自动启动的服务通常会这样做。
- 还侧重于使用任何加密库的服务,如 NSS、GnuTLS、OpenSSL 和 libgcrypt。
- 也检查备份、disk-encryption、file-encryption 和类似的应用程序。
因为 RHEL 8 中的 FIPS 模式限制 DSA 密钥、DH 参数、小于 1024 位的 RSA 密钥以及其它密码,所以旧的加密密钥在从 RHEL 7 升级后停止工作。如需更多信息,请参阅采用 RHEL 8 的注意事项文档中的 核心加密组件中的变化 部分和 RHEL 8 安全强化文档中的 使用系统范围的加密策略 一章。
其他资源
- 在 RHEL 8 安全强化文档中将系统切换到 FIPS 模式
-
update-crypto-policies (8)
和fips-mode-setup (8)
man page