OpenSSL 行为

在客户端和服务器上实施 FIPS 需要使用动态 OpenSSL 链接。Vertica 服务器使用主机系统提供的 OpenSSL(如 FIPS 140-2 支持的平台中所示)。OpenSSL 与 LDAP 和 Kerberos 进行动态链接。

有关详细信息,请参阅查找 OpenSSL 库

CentOS 系统上的库

在 FIPS 兼容的 CentOS 系统上,Vertica 仅使用 FIPS 140-2 支持的平台中列出的 OpenSSL 库运行。这些库的其他版本不在 FIPS 系统上运行。出现这种不兼容性的原因是,FIPS 安全策略对应用程序链接到的库执行校验和,并验证应用程序执行的库是否具有相同的校验和。

非 FIPS 系统上的库版本控制

请注意,在某些非 FIPS 系统上,安装新版本的 OpenSSL 时可能会出现版本控制异常。某些情况下,默认的 OpenSSL 构建过程会生成版本名为 1.0.0 的库。要让 Vertica 识别库具有较高的版本号,您必须为库名称提供更高的版本号。例如,在安装 OpenSSL 版本 1.0.1t 时,将库命名为 libcrypto.so.1.0.1t 或 libssl.1.0.1t(具有这些名称的符号链接即可)。