連邦情報処理標準（FIPS）140-2 は、暗号化モジュールの検証に使用されるセキュリティ規格です。暗号化モジュールは、米国政府機関およびその他の規制産業（金融機関や医療機関など）が取扱注意ではあるが機密ではない（SBU）情報の収集、保存、転送、共有、および配布に使用するために民間企業によって製造されます。

（注）	コントローラが FIPS モードの場合、Cisco TrustSec（CTS）はサポートされません。

FIPS の詳細については、以下を参照してください。

FIPS が有効な状態の場合、一部のパスワードと事前共有キーに次の最小長を指定する必要があります。

• コントローラとマップ サーバー間の SD-Access ワイヤレスの場合、両者間のすべての TCP メッセージの認証に事前共有キー（LISP 認証キーなど）が使用されます。この事前共有キーの長さは 14 文字以上にする必要があります。

• ISAKMP キー（Crypto ISAKMP キーなど）の長さは、14 文字以上にする必要があります。

FIPS の制限事項

• コントローラが FIPS モードで動作している場合、AP のコンソールは無効になります。

• 脆弱な暗号やレガシー暗号（SHA1 など）は、FIPS モードではサポートされていません。

• FIPS ステータスを変更しても、AP はすぐにはリロードされません。

（注）	FIPS モードで動作している場合、RADSEC では 2048 ビット以上の RSA キー サイズが推奨されます。それ以外の場合、RADSEC は失敗します。

• コントローラ スイッチでは、レガシー AP をサポートするためにレガシー キーが使用されます。ただし FIPS モードの場合は、暗号化エンジンがレガシー キーを脆弱なキーとして検出し、エラー メッセージ「% Error in generating keys: could not generate test signature」を表示して拒否します。コントローラのブートアップ時に表示されるこのようなエラー メッセージは、無視することをお勧めします（FIPS モードで動作している場合）。

• FIPS を有効にすると、SHA1 を使用する SSH クライアントはコントローラにアクセスできなくなります。

  （注）	コントローラにアクセスするには、FIPS 準拠の SSH クライアントを使用する必要があります。

• WLAN を設定する際は、PSK の長さが 15 文字以上であることを確認します。そうでない場合、AP はタグの変更後にコントローラに参加できなくなります。

• TrustSec はサポートされていません。

• PAC キー設定はサポートされていません。

• FIPS は、レベル 6 の暗号化パスワードと互換性がありません。さらに、RADIUS 共有秘密がタイプ 6 の暗号化キーを使用している場合、802.1X 認証は失敗します。

暗号モジュールは、適正に動作していることを確認するために、電源投入時のセルフテストと条件付きセルフテストを実行しなければなりません。

電源投入時セルフテストは、デバイスの電源が投入された後に自動的に実行されます。デバイスが FIPS モードになるのは、すべてのセルフテストが正常に完了した後だけです。いずれかのセルフテストが失敗すると、デバイスはシステム メッセージをログに記録し、エラー状態に移行します。また、電源投入時自己診断テストが失敗した場合、デバイスは起動できません。

既知解テスト（KAT）を利用すると、暗号アルゴリズムは正しい出力があらかじめわかってるデータに対して実行され、その計算出力は前回生成された出力と比較されます。計算出力が既知解と等しくない場合は、既知解テストに失敗したことになります。

電源投入時セルフテストでは次を含むテストが行われます。

• ソフトウェアの整合性

• アルゴリズム テスト

何かに対応してセキュリティ機能または操作が始動された場合は、条件付きセルフテストが実行されなければなりません。電源投入時セルフテストとは異なって、条件付きセルフテストはそれぞれに関連する機能がアクセスされるたびに実行されます。

デバイスは、既知解テスト（KAT）という暗号化アルゴリズムを使用して、デバイス上に実装されている FIPS 140-2 で承認された暗号機能（暗号化、復号化、認証、および乱数生成）ごとに FIPS モードをテストします。デバイスは、このアルゴリズムを、すでに正しい出力がわかっているデータに対して適用します。次に、計算された出力を、以前に生成された出力と比較します。計算された出力が既知解に等しくない場合は、KAT が失敗します。

適用可能なセキュリティ機能または操作が呼び出された場合は、条件付きセルフテストが自動的に実行されます。電源投入時セルフテストとは異なって、条件付きセルフテストはそれぞれに関連する機能がアクセスされるたびに実行されます。

条件付きセルフテストでは次を含むテストが行われます。

• ペア整合性テスト：このテストは公開キー/秘密キー ペアが生成されたときに実行されます。

• 乱数連続生成テスト：このテストは乱数が生成されたときに実行されます。

• バイパス

• ソフトウェア ロード

FIPS モードで HA ペアを起動する場合、HA ペアを形成する前に、同じ FIPS 認証キーを使用してアクティブコントローラとスタンバイコントローラの両方を個別に設定する必要があります。

HA ペアを形成した後に FIPS 認証キーを設定すると、FIPS 認証キーの設定がスタンバイと同期されません。この状態で HA ペアをリブートすると、リロードループが発生します。これを回避するには、次の手順を実行する必要があります。

• HA ペアを解除します。

• 両方のメンバーで同じ FIPS 認証キーを個別に設定します。

• メンバーをペアリングします。

HA 設定の FIPS を設定するには、次の手順を実行します。

1. スタックの両方のメンバーの電源をオフにします。

2. member1 のみの電源をオンにして、コントローラが起動し、コンソールからのログインを求めるプロンプトが表示されるまで待ちます。

3. 有効なログイン情報を使用してログインに成功したら、次のコマンドを実行します。

   
   Show fips status
   Show fips authorization-key
   Show romvar
   Show chassis

   （注）	設定した FIPS 認証キーを手元に置いておきます。

4. 以前に FIPS キーを設定していない場合は、FIPS キーを設定します。

   
   conf t
   fips authorization-key <32 hex char>
   

5. 保存して、member1 の電源をオフにします。

6. member2 のみの電源をオンにして、コントローラが起動し、コンソールからのログインを求めるプロンプトが表示されるまで待ちます。

7. 有効なログイン情報を使用してログインに成功したら、次のコマンドを実行します。

   
   Show fips status
   Show fips authorization-key
   Show romvar
   Show chassis

   （注）	設定した FIPS 認証キーを手元に置いておきます。

8. 以前に FIPS キーを設定していない場合は、FIPS キーを設定します。

   （注）	キーの値は、スタックの両方のメンバーで同じである必要があります。

   
   conf t
   fips authorization-key <32 hex char>
   

9. 保存して、member2 の電源をオフにします。

10. 両方のメンバーの電源をオンにし、スタックが形成されるまで待ちます。

11. クラッシュまたは予期しないリロードをモニターします。

    （注）	FIPS の問題によってメンバーがリロードしないことが予期されます。