联邦信息处理标准(FIPS)由美国政府制定,旨在增强组织的安全态势。它为数据安全、采用强加密方法以及实施密钥管理系统提供指导方针和最佳实践。所有处理敏感信息的美国联邦机构和承包商都必须遵循 FIPS 合规要求,因为这有助于降低潜在的安全漏洞并防御网络威胁。
ServiceDesk Plus 在 FIPS 模式下运行,以符合美国政府标准。启用 FIPS 模式可确保 ServiceDesk Plus 符合 FIPS 140-2,并且仅使用经过 FIPS 验证的算法。
安全通信:启用 FIPS 合规性将禁用 ServiceDesk Plus 中对 HTTP 的支持,并强制使用 HTTPS。这可确保任意客户端与 ServiceDesk Plus 之间的数据传输都通过安全且加密的通道进行。
符合 FIPS 的校验和/哈希算法:ServiceDesk Plus 中的所有校验和验证算法都将按照 FIPS 标准执行。不符合 FIPS 的 MD5 和 SHA-1 哈希算法将受到限制。
对 PKCS12 证书的限制:ServiceDesk Plus 将不再支持 PKCS12 (PFX) 证书。用户应使用符合 FIPS 安全准则的其他证书格式。此限制可确保证书操作符合所需的安全协议。
SAML 算法变更:如果在 ServiceDesk Plus 版本 14840 之前已启用 SAML,则切换到 FIPS 模式会更改服务提供商的证书算法。这将影响 SAML 登录(如果为 IdP 启用了响应签名)和注销(如果配置了单点注销)。启用 FIPS 模式后,新证书将保存在 <Server_home>/conf/SamlCertUpgrade/sdp_public_new.cer 中。必须将此证书上传到您的身份提供商,以恢复 SAML 功能。
请确保在启用 FIPS 模式之前已启动并停止application。此外,在配置 FIPS 之前,请先备份application。
请按照以下步骤配置 FIPS:
对于 Windows,请使用管理员权限在 <Server_installed_directory>\bin 文件夹中打开命令提示符。对于 Linux,请打开终端。
Windows 执行 ConfigureFIPSMode.bat 文件,Linux 执行 sh ConfigureFIPSMode.sh。有关更多信息,请参阅此处的故障排除。
Server。
AD 域的 LDAP SSL 配置:确保 LDAP 连接使用 SSL。您可以在 ServiceDesk Plus 中修改现有 Active Directory 域的 LDAP SSL 设置,位置为“Active Directory > 从 Active Directory 导入用户”和/或 ESM Directory 或 Admin 设置中的 LDAP。
集成使用 HTTPS 协议:确保 ServiceDesk Plus 中的所有集成都使用 HTTPS。如果任何集成之前配置为 HTTP,则必须重新配置为 HTTPS,以确保通信安全。
UEM 集成:将与 ServiceDesk Plus 集成的现有 UEM application升级到 11.3.2410.01 或更高版本。有关更多详细信息,请访问 ManageEngine Endpoint Central。
远程Server配置:所有连接到中央Server的远程Server都必须配置为 FIPS 模式,以确保所有Server之间的安全通信。请按照这些步骤,在所有远程Server上配置 FIPS 模式。
SQL Server 前提条件:使用 SQL Server 2016 或更高版本。建议在 SQL Server 中启用 FIPS 模式。 在 ServiceDesk Plus 中配置 FIPS 合规性之前,请参阅这些步骤,为 SQL Server 配置 SSL。
Postgres 密码:Postgres 用户密码应包含超过 15 个字符。请按照这些步骤检索您的 Postgres 密码。请按照这些说明更新 Postgres 密码。
application 不支持在冷启动期间使用 FIPS 模式。请在数据库已填充的情况下至少启动并停止application一次,以激活 FIPS 模式。
FIPS 模式不支持外部 PgSQL。仅捆绑的 PgSQL 和启用了 SSL 的 SQL Server 兼容。
从 ServiceDesk Plus applicationServer发起的所有集成和出站连接(例如邮件、LDAP、AD、自定义函数),都必须由 SDAdmin 以安全方式进行配置(HTTPS、SMTPS、LDAPS),以符合 FIPS 要求。
虽然 MD5 和 Bcrypt 不符合 FIPS,但 ServiceDesk Plus 在启用 FIPS 模式后,仍会在用户首次登录时使用它们。
错误/警告 | 解决方案 | 故障排除 |
FIPS 配置脚本执行失败。对于未启用 SSL 的 SQL Server,不支持 FIPS。 | 请在 SQL Server 中启用 SSL,然后执行 FIPS 配置。 | 按照这些步骤启用 SSL。 |
FIPS 配置脚本执行失败。ServiceDesk Plus 当前未在 HTTPS 模式下运行。 | 请在 ServiceDesk Plus 中启用 HTTPS,然后执行 FIPS 配置。 | FIPS 模式不支持 HTTP。 请参阅此处切换为 HTTPS。 |
FIPS 不支持冷启动。 | 在运行 FIPS 脚本之前,请先启动并停止application一次。 | - |
由于证书不受信任,PKIX 路径构建失败。 | 请在数据库中安装有效的 SSL 证书,或手动将不受信任的证书添加到application的信任库中。了解更多。 | 按照这些步骤,将不受信任的证书添加到application的信任库中。 |
SSL 握手期间未能验证Server名称。 | 请配置一个与数据库Server所提供 SSL 证书主题备用名称兼容的主机名。 | 为 SQL Server 配置的 SSL 证书中的主题备用名称(SAN)必须与用于连接 SQL Server 的主机名匹配。
如果 SAN 不匹配,您可以重新生成证书并在 SQL Server 中重新配置,或者添加一个符合 SAN 的 DNS 条目。 |
外部 PostgreSQL 不支持 FIPS。 | 请将application数据库迁移到 SQL Server 或捆绑的 PostgreSQL,以使用 FIPS 模式。 | 请参阅此文档配置 MSSQL 或捆绑的 PGSQL。
请参阅此处迁移现有数据。 |
FIPS 配置脚本已成功执行,但无法更新 run.bat/run.sh 文件以包含 FIPS jars。 | 请手动更新 run.bat/run.sh 文件以包含 FIPS jars。 | 如需更多详细信息,请联系我们的支持团队。 |
集成的 UEM 服务不兼容。 | 您的 UEM 版本过旧。要配置 FIPS,请升级到 11.3.2410.01 (支持用户激活和新算法的 EXE NL 版本)或更高版本。 | 要升级 UEM 版本,请参阅此链接。 |
远程Server已连接到中央Server。请为远程Server配置 FIPS。 | 远程Server中可能尚未配置 FIPS。 | 按照这些步骤,在所有远程Server上配置 FIPS 模式。 |
SAML 服务提供商证书算法已更新。SAML 登录/注销功能可能受到影响。 | 请将位于 <path/to/cert/> 的证书上传到您的身份提供商,以恢复 SAML 功能。 | 如果您不确定在哪里下载和上传证书,请参阅此文档。
|
用户 sdpadmin 的 Postgres 数据库密码少于 16 个字符。 | 请使用 changeDBPassword 将密码更新为大于或等于 16 个字符,以使其兼容 FIPS,然后再次运行脚本。 | 按照这些步骤检索您的 Postgres 密码。
按照这些提示更改 Postgres 密码。 |
冷启动未成功完成,因此无法执行 FIPS 脚本。 | 请重新初始化application并运行 FIPS 脚本。 | 重启application。如果 FIPs 脚本再次失败,请联系支持。 |
已调用/失败迁移,因此无法执行 FIPS 脚本。 | 已调用/失败迁移,因此无法执行 FIPS 脚本。 | 如需更多详细信息,请联系我们的支持团队。 |
application当前正在运行,因此无法执行 FIPS 模式。 | 请停止application并运行 FIPS 脚本。 | 请参阅此处关闭Server。 |
如果您在 ServiceDesk Plus 的 FIPS 合规性方面遇到问题或有疑问,请联系我们的支持团队。