在 AL2023 上切换 OpenSSL FIPS 提供程序

这部分说明如何在 AL2023 上切换 latest 与 certified OpenSSL FIPS 提供程序。

有关 FIPS 的更多信息，请参阅：

重要

在 AL2023.7 及更高版本中，默认的 OpenSSL FIPS 提供程序是 openssl-fips-provider-latest 程序包，该程序包会定期接收错误修复和安全更新。

以下说明仅适用于希望锁定到 openssl-fips-provider-certified 程序包的客户。此版本 FIPS 提供程序的校验和将与 NIST 证书保持一致，但可能不包含最新更新。

有关 FIPS 认证模块和程序包版本的更多信息，请参阅 AL2023 常见问题解答。

先决条件

现有 AL2023（AL2023.7 或更高版本）Amazon EC2 实例，可以访问互联网并下载所需软件包。有关启动 AL2023 Amazon EC2 实例的更多信息，请参阅使用 Amazon EC2 控制台启动 AL2023。
必须使用 SSH 或 AWS Systems Manager 连接到您的 Amazon EC2 实例。有关更多信息，请参阅连接到 AL2023 实例。
要在 AL2023 上启用 FIPS 模式，请按照在 AL2023 上启用 FIPS 模式处的说明操作。

在 `openssl-fips-provider-latest` 和 `openssl-fips-provider-certified` 之间切换。

使用 dnf 切换 OpenSSL FIPS 提供程序：


sudo dnf -y swap openssl-fips-provider-latest openssl-fips-provider-certified

验证当前正在使用经认证的 OpenSSL FIPS 提供程序。在启用 FIPS 模式的 AL2023 系统中运行以下命令：


openssl list -providers

您应看到以下输出：

Providers:
  base
    name: OpenSSL Base Provider
    version: 3.2.2
    status: active
  default
    name: OpenSSL Default Provider
    version: 3.2.2
    status: active
  fips
    name: Amazon Linux 2023 - OpenSSL FIPS Provider
    version: 3.0.8-d694bfa693b76001
    status: active

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

在 AL2023 容器中启用 FIPS 模式

内核强化

在 AL2023 上切换 OpenSSL FIPS 提供程序

重要

先决条件

在 openssl-fips-provider-latest 和 openssl-fips-provider-certified 之间切换。

在 `openssl-fips-provider-latest` 和 `openssl-fips-provider-certified` 之间切换。