Oracle Solaris では、OpenSSL の 2 つの実装をサポートしています。
FIPS 140-2 対応の OpenSSL
FIPS 140-2 非対応の OpenSSL
両方の実装はアップグレードされており、OpenSSL プロジェクトの最新の OpenSSL バージョン (OpenSSL 1.0.1) と互換性があります。このバージョンライブラリに関しては、両方とも API/ABI 互換です。
実装は両方とも OS 内に存在し、一度に 1 つのみの実装をアクティブにできます。どの OpenSSL 実装がシステムでアクティブかを判断するには、pkg mediator openssl コマンドを使用します。
デフォルトでは、FIPS 140-2 非対応の OpenSSL 実装が Oracle Solaris でアクティブになります。ただし、システムのセキュリティーを選択して、必要な実装を選択できます。
$ pkg mediator -a openssl
注意 - 切り替える OpenSSL 実装がシステムに存在する必要があります。そうでない場合、システムに存在しない実装に切り替えると、システムを使用できなくなる可能性があります。 |
# pkg set-mediator [--be-name name] -I implementation openssl
ここで、implementation は default または fips-140 のどちらかであり、name は現在のブート環境の新しいクローンの名前です。このクローンでは、指定された実装がアクティブになります。
pkg set-mediator コマンドの詳細は、Oracle Solaris 11.3 ソフトウェアの追加と更新 の 優先アプリケーションの変更を参照してください。
# pkg mediator openssl
この例では、システムの OpenSSL 実装を FIPS 140-2 対応になるように変更します。
# pkg mediator -a openssl MEDIATOR VER. SRC. VERSION IMPL. SRC. IMPLEMENTATION openssl vendor vendor default openssl system system fips 140 # pkg set-mediator --be-name BE2 -I fips-140 openssl # reboot # pkg mediator openssl MEDIATOR VER. SRC. VERSION IMPL. SRC. IMPLEMENTATION openssl vendor vendor default