附录 C. RHEL 8 中加密密钥的位置

升级在联邦信息处理标准(FIPS)模式下运行的系统后,您必须重新生成,并确保所有加密密钥的 FIPS 合规性。下表中列出了此类密钥的一些已知位置。请注意,该列表没有完成,您也可以检查其他位置。

表 C.1. RHEL 8 中加密密钥的位置

Application(应用程序)密钥位置备注

Apache mod_ssl

/etc/pki/tls/private/localhost.key

如果 /etc/pki/tls/private/localhost.key 不存在,/usr/lib/systemd/system/httpd-init.service 服务运行 /usr/libexec/httpd-ssl-gencerts 文件。

Bind9 RNDC

/etc/rndc.key

named-setup-rndc.service 服务运行 /usr/libexec/generate-rndc-key.sh 脚本,该脚本生成 /etc/rndc.key 文件。

Cyrus IMAPd

/etc/pki/cyrus-imapd/cyrus-imapd-key.pem

cyrus-imapd-init.service 服务在启动时生成 /etc/pki/cyrus-imapd/cyrus-imapd-key.pem 文件。

DNSSEC-Trigger

/etc/dnssec-trigger/dnssec_trigger_control.key

dnssec-triggerd-keygen.service 服务生成 /etc/dnssec-trigger/dnssec_trigger_control.key 文件。

Dovecot

/etc/pki/dovecot/private/dovecot.pem

dovecot-init.service 服务在启动时生成 /etc/pki/dovecot/private/dovecot.pem 文件。

OpenPegasus

/etc/pki/Pegasus/file.pem

tog-pegasus.service 服务生成 /etc/pki/Pegasus/file.pem 私钥文件。

OpenSSH

/etc/ssh/ssh_host*_key

Ed25519 和 DSA 密钥不符合 FIPS。

FIPS 模式下不支持自定义 Diffie-Hellman (DH)参数。注释掉 sshd_config 文件中的 ModuliFile 选项,以确保与 FIPS 模式兼容。您可以在默认位置保留 moduli 文件(默认为/etc/ssh/moduli )。

Postfix

/etc/pki/tls/private/postfix.key

postfix 软件包中包含的安装后脚本会生成 /etc/pki/tls/private/postfix.key 文件。

RHEL web 控制台

/etc/cockpit/ws-certs.d/

Web 控制台运行 /usr/libexec/cockpit-certificate-ensure -for-cockpit-tls 文件,该文件会在 /etc/cockpit/ws-certs.d/ 目录中创建密钥。

sendmail

/etc/pki/tls/private/sendmail.key

sendmail 软件包中包含的安装后脚本会生成 /etc/pki/tls/private/sendmail.key 文件。

要确保对第三方应用程序的加密密钥的 FIPS 合规性,请参阅相应应用程序的对应文档。另外:

  • 打开端口的任何服务都可以使用 TLS 证书。

    • 并非所有服务都会自动生成加密密钥,但许多默认自动启动的服务通常会这样做。
  • 还侧重于使用任何加密库的服务,如 NSS、GnuTLS、OpenSSL 和 libgcrypt。
  • 也检查备份、disk-encryption、file-encryption 和类似的应用程序。
重要

因为 RHEL 8 中的 FIPS 模式限制 DSA 密钥、DH 参数、小于 1024 位的 RSA 密钥以及其它密码,所以旧的加密密钥在从 RHEL 7 升级后停止工作。如需更多信息,请参阅采用 RHEL 8 的注意事项文档中的 核心加密组件中的变化 部分和 RHEL 8 安全强化文档中的 使用系统范围的加密策略 一章。

其他资源