在 SDX 14030/14060/14080 FIPS 设备上为实例配置 HSM
首先检查 FIPS 卡的状态以验证驱动程序是否正确加载,然后初始化该卡。
在命令提示符下,键入:
show fips
FIPS Card is not configured
Done
<!--NeedCopy-->
如果驱动程序未正确加载,将显示消息 “错误:不允许操作-系统中没有 FIPS 卡”。
初始化 FIPS 卡
重要:
验证是否已在设备上成功创建
/nsconfig/fips
目录。
在第三次重新启动设备之前,请勿保存配置。
执行以下步骤初始化 FIPS 卡:
- 重置 FIPS 卡 (
reset fips
)。 - 重新启动设备 (
reboot
)。 -
为分区 0 和 1 设置安全管理人员密码,为分区设置用户密码 (
set fips -initHSM Level-2 <soPassword> <oldsoPassword> <userPassword> -hsmLabel NSFIPS
)。注意:set 或 reset 命令需要 60 秒以上的时间才能运行。
- 保存配置 (
saveconfig
)。 - 验证主分区 (master_pek.key) 的密码加密密钥是否已在 /nsconfig/fips/ 目录中创建。
- 重新启动设备 (
reboot
)。 - 验证 FIPS 卡是否已启用 (
show fips
)。
使用 CLI 初始化 FIPS 卡
在命令提示符下,键入以下命令:
reset fips
reboot
set fips -initHSM Level-2 <soPassword> <oldsoPassword> <userPassword> -hsmLabel <string>
<!--NeedCopy-->
注意:运行 set fips 命令时会出现以下消息:
This command will erase all data on the FIPS card. You must save the configuration (saveconfig) after executing this command. [Note: On MPX/SDX 14xxx FIPS platform, the FIPS security is at Level-3 by default, and the -initHSM Level-2 option is internally converted to Level-3] Do you want to continue?(Y/N)y
saveconfig
reboot
show fips
<!--NeedCopy-->
示例:
reset fips
Done
reboot
set fips -initHSM Level-2 so12345 so12345 user123 -hsmLabel NSFIPS
This command will erase all data on the FIPS card. You must save the configuration (saveconfig) after executing this command. [Note: On MPX/SDX 14xxx FIPS platform, the FIPS security is at Level-3 by default, and the -initHSM Level-2 option is internally converted to Level-3] Do you want to continue?(Y/N)y
Done
saveconfig
Done
reboot
show fips
FIPS HSM Info:
HSM Label : NSFIPS
Initialization : FIPS-140-2 Level-2
HSM Serial Number : 3.0G1532-ICM000228
HSM State : 2
HSM Model : NITROX-III CNN35XX-NFBE
Hardware Version : 0.0-G
Firmware Version : 1.0
Firmware Build : NFBE-FW-1.0-48
Max FIPS Key Memory : 1000
Free FIPS Key Memory : 1000
Total SRAM Memory : 557396
Free SRAM Memory : 238088
Total Crypto Cores : 4
Enabled Crypto Cores : 4
Done
<!--NeedCopy-->
在 SDX 14030/14060/14080 FIPS 设备上为实例配置 HSM
已复制!
失败!