在启用 FIPS 140 的系统中,可以轻松配置 IPsec 以符合 FIPS 140 要求。只能选择 FIPS 140 验证算法用于创建密钥和证书。本指南中的操作过程和示例均使用 FIPS 140 认可的算法,除非明确指定 any 算法。
在 Oracle Solaris 中以 FIPS 140 模式运行时,IPsec 可使用以下得到认可的机制:
CBC、CCM、GCM 和 GMAC 模式下的 AES,密钥长度为 128 位到 256 位
3DES
SHA1
SHA2,密钥长度为 256 位和 512 位
有关 Oracle Solaris 通过 FIPS 140 验证的算法的明确列表,请参见 http://www.oracle.com/technetwork/topics/security/140sp2061-2082028.pdf。有关更全面的讨论,请参见Using a FIPS 140 Enabled System in Oracle Solaris 11.2 。