本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 在 AL2023 上切换 OpenSSL FIPS 提供程序 这部分说明如何在 AL2023 上切换 `latest` 与 `certified` OpenSSL FIPS 提供程序。 有关 FIPS 的更多信息,请参阅: + [美国联邦信息处理标准 (FIPS)](https://www.amazonaws.cn/compliance/fips/) + [合规性常见问题:美国联邦信息处理标准](https://www.nist.gov/standardsgov/compliance-faqs-federal-information-processing-standards-fips) + [FedRAMP 加密模块选择与使用策略](https://www.fedramp.gov/rev5/fips/) **重要** 在 AL2023.7 及更高版本中,默认的 OpenSSL FIPS 提供程序是 `openssl-fips-provider-latest` 程序包,该程序包会定期接收错误修复和安全更新。 以下说明仅适用于希望锁定到 `openssl-fips-provider-certified` 程序包的客户。此版本 FIPS 提供程序的校验和将与 NIST 证书保持一致,但可能不包含最新更新。 有关 FIPS 认证模块和程序包版本的更多信息,请参阅 [AL2023 常见问题解答](https://www.amazonaws.cn/linux/amazon-linux-2023/faqs/)。 **先决条件** + 现有 AL2023(AL2023.7 或更高版本)Amazon EC2 实例,可以访问互联网并下载所需软件包。有关启动 AL2023 Amazon EC2 实例的更多信息,请参阅[使用 Amazon EC2 控制台启动 AL2023](ec2.md#launch-from-ec2-console)。 + 必须使用 SSH 或 Amazon Systems Manager 连接到您的 Amazon EC2 实例。有关更多信息,请参阅 [连接到 AL2023 实例](connecting-to-instances.md)。 + 要在 AL2023 上启用 FIPS 模式,请按照 [在 AL2023 上启用 FIPS 模式](fips-mode.md) 处的说明操作。 **在 `openssl-fips-provider-latest` 和 `openssl-fips-provider-certified` 之间切换。** 1. 使用 `dnf` 切换 OpenSSL FIPS 提供程序: ``` sudo dnf -y swap openssl-fips-provider-latest openssl-fips-provider-certified ``` 1. 验证当前正在使用经认证的 OpenSSL FIPS 提供程序。在启用 FIPS 模式的 AL2023 系统中运行以下命令: ``` openssl list -providers ``` 您应看到以下输出: ``` Providers: base name: OpenSSL Base Provider version: 3.2.2 status: active default name: OpenSSL Default Provider version: 3.2.2 status: active fips name: Amazon Linux 2023 - OpenSSL FIPS Provider version: 3.0.8-d694bfa693b76001 status: active ```