Zum Hauptinhalt springen

Verschlüsselungseinstellungen auf dem Verwaltungsserver konfigurieren

Sie können die SSL/TLS-Version und die Verschlüsselungseinstellung für den Verwaltungsserver konfigurieren.

Vorbereitende Schritte

Lesen Sie die Hinweise zur Verschlüsselung, bevor Sie die Einstellungen auf dem Verwaltungsserver ändern (siehe Verschlüsselungsverwaltung).

Zu dieser Aufgabe

Der Verschlüsselungsmodus bestimmt, wie sich die sichere Kommunikation zwischen XClarity Administrator und allen verwalteten Systemen vollzieht. Wenn die sichere Kommunikation implementiert ist, legt der Modus die Länge des Verschlüsselungsschlüssels fest.

Anmerkung
Unabhängig davon, welchen Verschlüsselungsmodus Sie auswählen, werden immer NIST-konforme Zufallszahlengeneratoren verwendet. Für die symmetrische Verschlüsselung kommen nur Schlüssel mit einer Mindestlänge von 128 Bit zum Einsatz.

Informationen zum Ändern der Sicherheitseinstellung für verwaltete Einheiten finden Sie unter Sicherheitseinstellungen für einen verwalteten Server konfigurieren.

Vorgehensweise

Gehen Sie wie folgt vor, um die Verschlüsselungseinstellungen auf dem Verwaltungsserver zu ändern.

  1. Klicken Sie in der XClarity Administrator-Menüleiste auf Verwaltung > Sicherheit.
  2. Wählen Sie einen der folgenden Verschlüsselungsmodi für eine sichere Kommunikation aus:
    • Kompatibilität. Dies ist der Standardmodus. Er ist kompatibel mit älteren Firmwareversionen, Browsern und anderen Netzwerkclients, auf denen nicht die strengeren Sicherheitsstandards implementiert werden, die für die Konformität mit NIST SP 800-131A erforderlich sind.
    • NIST SP 800-131A. Dieser Modus entspricht dem NIST SP 800-131A-Standard. XClarity Administrator ist so konzipiert, dass intern immer eine starke Verschlüsselung und, sofern verfügbar, stark verschlüsselte Netzwerkverbindungen verwendet werden. Allerdings sind in diesem Modus Netzverbindungen unzulässig, die eine von NIST SP 800-131A nicht genehmigte Verschlüsselung verwenden; so werden z. B. Transport Layer Security (TLS)-Zertifikate zurückgewiesen, die mit SHA-1 oder schwächerem Hash signiert sind.

      Beachten Sie bei Auswahl dieses Modus Folgendes:
      • Für alle Ports außer Port 8443 sind alle TLS-CBC-Codierschlüssel und alle Codierschlüssel deaktiviert, die kein Perfect Forward Secrecy unterstützen.

      • Ereignisbenachrichtigungen werden möglicherweise nicht erfolgreich an einige Mobilgeräteabonnements weitergeleitet (siehe Ereignisse an mobile Einheiten weiterleiten). Externe Services wie Android und iOS legen SHA-1-signierte Zertifikate vor; dieser Algorithmus entspricht nicht den strikten Anforderungen von NIST SP 800-131A. Dementsprechend können bei Verbindungen zu diesen Services Zertifikatsausnahmen oder Handshakefehler auftreten.

      Weitere Informationen über die Konformität mit NIST SP 800-131A finden Sie unter NIST SP 800-131A-Konformität implementieren.
  3. Wählen Sie die Mindest-TLS-Protokollversion aus, die für Clientverbindungen mit anderen Servern (z. B. dem LDAP-Server) verwendet werden muss. Die folgenden Optionen stehen zur Verfügung.
    • TLS1.2. Erzwingt die Verwendung des Verschlüsselungsprotokolls TLS v1.2.
    • TLS1.3. Erzwingt die Verwendung des Verschlüsselungsprotokolls TLS v1.3.
  4. Wählen Sie die Mindest-TLS-Protokollversion aus, die für Serververbindungen (z. B. den Web-Server) verwendet werden muss. Die folgenden Optionen stehen zur Verfügung.
    • TLS1.2. Erzwingt die Verwendung des Verschlüsselungsprotokolls TLS v1.2.
    • TLS1.3. Erzwingt die Verwendung des Verschlüsselungsprotokolls TLS v1.3.
  5. Wählen Sie die Mindestversion des TLS-Protokolls für die Betriebssystemimplementierung und Einheitentreiberaktualisierungen von XClarity Administrator. Die folgenden Optionen stehen zur Verfügung.
    • TLS1.2. Erzwingt die Verwendung des Verschlüsselungsprotokolls TLS v1.2.
    • TLS1.3. Erzwingt die Verwendung des Verschlüsselungsprotokolls TLS v1.3.
    Anmerkung
    Nur Betriebssysteme mit einem Installationsvorgang, der den ausgewählten Verschlüsselungsalgorithmus oder stärker unterstützt, können über XClarity Administrator implementiert und aktualisiert werden.
  6. Wählen Sie die Länge des Verschlüsselungsschlüssels und den Hashalgorithmus aus, der für alle Teile des Zertifikats verwendet werden soll, einschließlich CA-Stammzertifikat, Serverzertifikat und CSR für extern signierte Zertifikate.
    • RSA-2048/SHA-256 (Standard)

      Dieser Modus kann verwendet werden, wenn verwaltete Einheiten im Modus „Kompatibilität“, „NIST SP 800-131A“ oder „Standardsicherheit“ sind. Dieser Modus kann nicht verwendet werden, wenn sich eine oder mehrere verwaltete Einheiten im Modus „Enterprise Strikt“-Sicherheit befinden.

    • RSA-3072/SHA-384

      Dieser Modus ist erforderlich, wenn verwaltete Einheiten im Modus „Enterprise Strikt“-Sicherheit sind.

      Wichtig
      Nur Server mit XCC2 unterstützen RSA-3072/SHA-384-Zertifikatsignaturen. Nach der Konfiguration von XClarity Administrator mit einem RSA-3072/SHA-384-basierten Zertifikat wird die Verwaltung aller Nicht-XCC2 Einheiten aufgehoben. Für die Verwaltung von Nicht-XCC2 Einheiten benötigen Sie eine separate XClarity Administrator-Instanz.
  7. Klicken Sie auf Übernehmen.
  8. Starten Sie XClarity Administrator neu (siehe Neustart von XClarity Administrator).
  9. Wenn Sie die Länge des Verschlüsselungsschlüssels geändert haben, generieren Sie das Stammzertifikat der Zertifizierungsstelle neu. Verwenden Sie dabei die richtigen Schlüssellänge und den korrekten Hashalgorithmus (siehe Selbst signiertes Lenovo XClarity Administrator Serverzertifikat neu generieren oder wiederherstellen oder Angepasste Serverzertifikate in Lenovo XClarity Administrator implementieren).

Nach dieser Aufgabe

Wenn Sie einen Alert erhalten, dass das Serverzertifikat für eine verwaltete Einheit nicht vertrauenswürdig ist, finden Sie weitere Informationen hierzu unter Ein nicht vertrauenswürdiges Serverzertifikat beheben.