Oracle Solaris での OpenSSL のサポート
Oracle Solaris では、OpenSSL の 2 つの実装をサポートしています。
-
FIPS 140-2 対応の OpenSSL
-
FIPS 140-2 非対応の OpenSSL
両方の実装はアップグレードされており、OpenSSL プロジェクトの最新の OpenSSL バージョン (OpenSSL 1.0.1) と互換性があります。このバージョンライブラリに関しては、両方とも API/ABI 互換です。
実装は両方とも OS 内に存在し、一度に 1 つのみの実装をアクティブにできます。どの OpenSSL 実装がシステムでアクティブかを判断するには、pkg mediator openssl コマンドを使用します。
FIPS 140-2 対応の OpenSSL 実装に切り替える方法
デフォルトでは、FIPS 140-2 非対応の OpenSSL 実装が Oracle Solaris でアクティブになります。ただし、システムのセキュリティーを選択して、必要な実装を選択できます。
- 管理者になります。
-
両方の実装がシステムにあることを確認します。
$ pkg mediator -a openssl
注意 - 切り替える OpenSSL 実装がシステムに存在する必要があります。そうでない場合、システムに存在しない実装に切り替えると、システムを使用できなくなる可能性があります。
-
異なる OpenSSL 実装に切り替えます。
# pkg set-mediator [--be-name name] -I implementation openssl
ここで、implementation は default または fips-140 のどちらかであり、name は現在のブート環境の新しいクローンの名前です。このクローンでは、指定された実装がアクティブになります。
注 - --be-name が指定された場合、このコマンドは、現在のブート環境のバックアップを作成します。リブートすると、システムは、この新しいクローニングされたブート環境を新しい実装で実行します。pkg set-mediator コマンドの詳細は、Oracle Solaris 11.3 ソフトウェアの追加と更新 の 優先アプリケーションの変更を参照してください。
- システムをリブートします。
- (オプション)
切り替えが成功し、優先する OpenSSL 実装がアクティブになっていることを確認します。
# pkg mediator openssl
この例では、システムの OpenSSL 実装を FIPS 140-2 対応になるように変更します。
# pkg mediator -a openssl MEDIATOR VER. SRC. VERSION IMPL. SRC. IMPLEMENTATION openssl vendor vendor default openssl system system fips 140 # pkg set-mediator --be-name BE2 -I fips-140 openssl # reboot # pkg mediator openssl MEDIATOR VER. SRC. VERSION IMPL. SRC. IMPLEMENTATION openssl vendor vendor default