FIPS-compliant algoritme

Het voldoen aan de FIPS standaard is nodig om met sommige Amerikaanse bedrijven en de Amerikaanse overheid te werken. Om hieraan de te voldoen moeten jouw sleutel en certificaat met 'FIPS-approved algorithms' zijn aangemaakt. Welke dit zijn vind je hier.

Het algoritme wordt bepaald tijdens het genereren van de CSR. Het is ook mogelijk om achteraf het algoritme aan te passen als je de sleutel en het certificaat hebt. Om voor het sleutelpaar een nieuw algoritme in te stellen gebruik je OpenSSL.

Algoritme controleren

Controleer of het algoritme het probleem is. Gebruik hiervoor het volgende commando: pkcs12 -info -in bestandsnaam.pfx -noout Als de versleutelingsalgoritme(s) niet in deze lijst voorkomen voldoen de algortime(s) niet aan de FIPS standaard.

Algoritme aanpassen

Om dit op te lossen moeten het certificaat en de sleutel een correct algoritme gebruiken, alle algoritmes in de eerdergenoemde lijst zijn toegestaan. Voor deze handleiding maken we gebruik van PBE-SHA1-3DES als voorbeeld. Als eerste zul je jouw .pfx bestand moeten converteren naar .pem met OpenSSL. Gebruik daarvoor het volgende commando: pkcs12 -in bestandsnaam.pfx -out bestandsnaam.pem

Nu je een .pem bestand hebt kan je een nieuw .pfx bestand genereren met een toegestaan algoritme. Gebruik het volgende commando: pkcs12 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -export -in bestandsnaam.pem -out bestandsnaam.pfx

Het nieuw gegenereerde .pfx bestand maakt nu gebruik van een FIPS nalevend algoritme.