FIPS モードをイネーブルにする前に次の注意事項を守ってください。

• パスワードは最小限 8 文字の長さで作成してください。

• Telnet は無効のままにします。ユーザーのログインは SSH だけで行ってください。

• RADIUS/TACACS+ によるリモート認証をディセーブルにしてください。スイッチに対してローカルのユーザーだけが認証可能です。

• SNMP v1 および v2 をディセーブルにしてください。SNMP v3 に対して設定された、スイッチ上の既存ユーザー アカウントのいずれについても、認証およびプライバシー用 AES/3DES は SHA で設定されていなければなりません。

• VRRP をディセーブルにしてください。

  Note	この手順は、 Cisco NX-OSソフトウェア リリース 8.3（1）以前のバージョンに適用されます。

• スイッチ上で FIPS と IPsec を同時に構成しないでください。FIPS が有効になっている場合、IKE を構成すると、FCIP リンクは起動しません。

• SSH サーバーの RSA1 キー ペアすべてを削除してください。

• FIPS が有効になっていて、Cisco MDS NX-OS リリース 8.1（x）から Cisco MDS NX-OS リリース 8.2（1）以降のリリースにアップグレードする場合、 8.2（x）リリースにアップグレードされたリリースで FIPS を無効化することはできません。

• ファイバチャネル Security Protocol（FCSP）と Network Time Protocol（NTP）は、Cisco MDS デバイスでFIPSに準拠していません。これは、両方のプロトコルが暗号的にセキュアではなく、 FIPS 140-2 標準を満たしていないためです。Cisco MDS デバイスで MD5 を使用した FCSP や NTP などの FIPS 非準拠コンポーネントを使用すると、脆弱性につながる可能性があります。

• Cisco MDS NX- OS 8.5(1) 以降のリリースでは、ssh-rsa が安全でない SHA1 署名を使用するため、スイッチが FIPS モードの場合、 SSH クライアントは ssh-rsa キー交換を使用しなくなる可能性があります。SSHクライアントでは、 RSAキー交換に rsa-sha2-256 を代わりに使用する必要があります。以前の NX- OS SSH サーバ バージョンでは、この制限を実施することは厳密ではありませんでした。

FIPS のステータスを表示するには show fips status コマンドを入力します。次に、 FIPS モードが有効になっている上記のコマンドの出力例を示します。

switch(config)# show fips status
FIPS mode is enabled

暗号モジュールは、適正に動作していることを確認するために、電源投入時のセルフテストと条件付きセルフテストを実行しなければなりません。

Note	FIPS の電源投入時セルフテストは、fips mode enable コマンドを入力して FIPS モードがイネーブルにされていると自動的に実行されます。スイッチが FIPS モードに入るのは、すべてのセルフテストが正しく完了したときだけです。セルフテストのいずれかが失敗すると、スイッチは再起動します。

電源投入時セルフテストは、FIPS モードのイネーブル後、即時に実行されます。既知の解を使用する暗号アルゴリズム テストは、Cisco MDS 9000 ファミリ製品に実装されている FIPS 140-3 認定暗号アルゴリズムのそれぞれに対して、すべての暗号機能で実行されなければなりません。

既知解テスト（KAT）を利用すると、暗号アルゴリズムは正しい出力があらかじめわかってるデータに対して実行され、その計算出力は前回生成された出力と比較されます。計算出力が既知解と等しくない場合は、既知解テストに失敗したことになります。

何かに対応してセキュリティ機能または操作が始動された場合は、条件付きセルフテストが実行されなければなりません。電源投入時セルフテストとは異なって、条件付きセルフテストはそれぞれに関連する機能がアクセスされるたびに実行されます。

条件付きセルフテストでは次を含むテストが行われます。

• ペア整合性テスト：このテストは公開キー/秘密キー ペアが生成されたときに実行されます。
• 乱数連続生成テスト：このテストは乱数が生成されたときに実行されます。

以上の両方はスイッチが FIPS モードに入っていると自動的に実行されます。