Zum Hauptinhalt springen

Verschlüsselungsverwaltung

Die Verschlüsselungsverwaltung besteht aus Kommunikationsmodi und -protokollen, die die Methode für eine sichere Kommunikation zwischen Lenovo XClarity Administrator und den verwalteten Systemen (wie Gehäusen, Servern und Flex-Switches) steuern.

Verschlüsselungsalgorithmen

XClarity Administrator unterstützt TLS 1.2 und stärkere Verschlüsselungsalgorithmen für sichere Netzwerkverbindungen.

Für eine höhere Sicherheit werden nur hohe Verschlüsselungsgrade unterstützt. Die Clientbetriebssysteme und Ihre Webbrowser müssen eines der folgenden Verschlüsselungssysteme unterstützen.
  • SSH-ED25519

  • SSH-ED25519-CERT-V01@OPENSSH.COM

  • ECDSA-SHA2-NISTP256

  • ECDSA-SHA2-NISTP256-CERT-V01@OPENSSH.COM

  • ECDSA-SHA2-NISTP384

  • ECDSA-SHA2-NISTP384-CERT-V01@OPENSSH.COM

  • ECDSA-SHA2-NISTP521

  • ECDSA-SHA2-NISTP521-CERT-V01@OPENSSH.COM

  • RSA-SHA2-512

  • RSA-SHA2-256

  • RSA-SHA2-384

Verschlüsselungsmodi für den Verwaltungsserver

Diese Einstellung legt fest, welche Methode für eine sichere Kommunikation vom Verwaltungsserver verwendet werden soll.
  • Kompatibilität. Dies ist der Standardmodus. Er ist kompatibel mit älteren Firmwareversionen, Browsern und anderen Netzwerkclients, auf denen nicht die strengeren Sicherheitsstandards implementiert werden, die für die Konformität mit NIST SP 800-131A erforderlich sind.
  • NIST SP 800-131A. Dieser Modus entspricht dem NIST SP 800-131A-Standard. XClarity Administrator ist so konzipiert, dass intern immer eine starke Verschlüsselung und, sofern verfügbar, stark verschlüsselte Netzwerkverbindungen verwendet werden. Allerdings sind in diesem Modus Netzverbindungen unzulässig, die eine von NIST SP 800-131A nicht genehmigte Verschlüsselung verwenden; so werden z. B. Transport Layer Security (TLS)-Zertifikate zurückgewiesen, die mit SHA-1 oder schwächerem Hash signiert sind.

    Beachten Sie bei Auswahl dieses Modus Folgendes:
    • Für alle Ports außer Port 8443 sind alle TLS-CBC-Codierschlüssel und alle Codierschlüssel deaktiviert, die kein Perfect Forward Secrecy unterstützen.

    • Ereignisbenachrichtigungen werden möglicherweise nicht erfolgreich an einige Mobilgeräteabonnements weitergeleitet (siehe Ereignisse an mobile Einheiten weiterleiten). Externe Services wie Android und iOS legen SHA-1-signierte Zertifikate vor; dieser Algorithmus entspricht nicht den strikten Anforderungen von NIST SP 800-131A. Dementsprechend können bei Verbindungen zu diesen Services Zertifikatsausnahmen oder Handshakefehler auftreten.

    Weitere Informationen über die Konformität mit NIST SP 800-131A finden Sie unter NIST SP 800-131A-Konformität implementieren.

Weitere Informationen zum Festlegen der Sicherheitsmodi auf dem Verwaltungsserver finden Sie unter Verschlüsselungseinstellungen auf dem Verwaltungsserver konfigurieren.

Sicherheitsmodi für verwaltete Server

Diese Einstellung legt fest, welche Methode für eine sichere Kommunikation von den verwalteten Servern verwendet werden soll.
  • Kompatibilität für Sicherheit. Wählen Sie diesen Modus aus, wenn Services und Clients eine Verschlüsselung erfordern, die nicht CNSA/FIPS entspricht. Dieser Modus unterstützt eine Vielzahl von Verschlüsselungsalgorithmen und ermöglicht die Aktivierung aller Services.

  • NIST SP 800-131A. Wählen Sie diesen Modus aus, um die Einhaltung des Standards NIST SP 800-131A sicherzustellen. Eingeschlossen sind hier einschränkende RSA-Schlüssel bis 2048 Bit oder höher und einschränkende Hashwerte für digitale Signaturen für SHA-256 oder länger. Des Weiteren muss sichergestellt werden, dass nur NIST-zertifizierte, symmetrische Verschlüsselungsalgorithmen verwendet werden. Für diesen Modus muss der SSL/TLS-Modus auf TLS 1.2 Server Client festgelegt werden.

    Dieser Modus wird für ThinkSystem V1 und V2 Server unterstützt.

  • Standardsicherheit. Dies ist der Standardsicherheitsmodus für ThinkSystem V3 und V4 Server. Wählen Sie diesen Modus aus, um die Einhaltung des Standards FIPS 140-3 sicherzustellen. Damit XCC im überprüften FIPS 140-3-Modus betrieben wird, können nur Services aktiviert werden, die eine Verschlüsselung auf FIPS 140-3-Ebene unterstützen. Services, die keine Verschlüsselung auf FIPS 140-2/140-3-Ebene unterstützen, werden standardmäßig deaktiviert, aber können bei Bedarf aktiviert werden. Wenn ein Service aktiviert ist, der eine Verschlüsselung verwendet, die nicht auf FIPS 140-3-Ebene ist, kann XCC nicht im überprüften FIPS 140-3-Modus betrieben werden. Dieser Modus erfordert Zertifikate auf FIPS-Ebene.

  • „Enterprise Strikt“-Sicherheit. Dies ist der sicherste Modus für ThinkSystem V3 und V4 Server. Wählen Sie diesen Modus aus, um die Einhaltung des CNSA-Standards sicherzustellen. Es sind nur Services zulässig, die die Verschlüsselung auf CNSA-Ebene unterstützen. Unsichere Services sind standardmäßig deaktiviert und können nicht aktiviert werden. Dieser Modus erfordert Zertifikate auf CNSA-Ebene.

    XClarity Administrator verwendet RSA-3072 Bit/SHA-384-Zertifikatsignaturen für Server im Modus „Enterprise Strikt“-Sicherheit.

    Wichtig
    • Der XCC FoD-Schlüssel (Feature On Demand) muss bei jedem ausgewählten ThinkSystem V3 und V4 Server (mit XCC2 oder XCC3) installiert sein, damit dieser Modus verwendet werden kann.

    • Wenn XClarity Administrator in diesem Modus ein selbstsigniertes Zertifikat verwendet, muss XClarity Administrator RSA 3072 Bit/SHA-384-basierte Stammzertifikate und Serverzertifikate verwenden. Wenn XClarity Administrator ein extern signiertes Zertifikat verwendet, muss XClarity Administrator eine RSA-3072 Bit/SHA-384-basierte Zertifikatssignieranforderung generieren und die externe Zertifizierungsstelle kontaktieren, um ein neues Serverzertifikat auf Basis von RSA-3072 Bit/SHA-384 zu signieren.

    • Wenn XClarity Administrator ein RSA-3072 Bit/SHA-384-basiertes Zertifikat verwendet, trennt XClarity Administrator möglicherweise Einheiten mit Ausnahme von Flex System Gehäusen (CMMS) und Servern, ThinkSystem Servern, ThinkServer Servern, System x M4 und M5 Servern, Switches der Lenovo ThinkSystem DB Serie, Lenovo RackSwitch, Flex System Switches, Mellanox Switches, Speichereinheiten der ThinkSystem DE/DM Serie, IBM Bandbibliotheksspeicher und ThinkSystem SR635/SR655 Server, auf denen Firmware vor 22C geflasht ist. Um die getrennten Geräte weiterhin zu verwalten, richten Sie eine weitere XClarity Administrator-Instanz mit einem 2048 Bit/SHA-256-basierten Zertifikat ein.

  • Hochsicherheit. Dies ist der sicherste Modus für ThinkSystem V1 und V2 Server. Wählen Sie diesen Modus, um die Einhaltung der NIST- und PFS-Standards (Perfect Forward Secrecy) sicherzustellen.

    Dieser Modus wird nur für ThinkSystem V1 und V2 Server unterstützt. Eine XCC-Firmwareversion, die im zweiten Quartal 2023 oder später veröffentlicht wurde, ist erforderlich.

Beachten Sie die folgenden Auswirkungen, die eine Änderung des Verschlüsselungsmodus mit sich bringt.
  • Für XClarity Administrator v4.2 und vorherige Versionen:

    • Um die verwaltete Authentifizierung für die Verwaltung eines ThinkSystem oder ThinkAgile Servers zu verwenden, wenn die TLS-Version auf dem XCC auf v1.3 festgelegt ist, muss die Mindest-TLS-Version für Server in XClarity Administrator ebenfalls auf TLS v1.3 festgelegt sein (siehe Verschlüsselungseinstellungen auf dem Verwaltungsserver konfigurieren).
  • Für XClarity Administrator v4.0 und vorherige Versionen:
    • Sie können die verwaltete Authentifizierung nicht verwenden, um einen ThinkSystem oder ThinkAgile Server zu verwalten, wenn der XCC-Sicherheitsmodus auf TLS v1.3 festgelegt ist.
    • Bei einem ThinkSystem oder ThinkAgile Server, der mit verwalteter Authentifizierung verwaltet wird, führt das Ändern des XCC-Sicherheitsmodus zu TLS v1.3 mit XClarity Administrator oder XCC dazu, dass der Server offline geht.
  • Der Wechsel vom Modus Kompatibilität für Sicherheit oder Standardsicherheit zum Modus „Enterprise Strikt“-Sicherheit wird nicht unterstützt.

  • Wenn Sie ein Upgrade vom Modus Kompatibilität für Sicherheit zu Standardsicherheit ausführen, werden Sie gewarnt, wenn importierte Zertifikate oder öffentliche SSH-Schlüssel nicht konform sind. Sie können trotzdem ein Upgrade auf den Modus Standardsicherheit durchführen.

  • Bei einem Herunterstufen vom Modus „Enterprise Strikt“-Sicherheit zum Modus Kompatibilität für Sicherheit oder Standardsicherheit:

    • Der Server wird automatisch neu gestartet, damit der Sicherheitsmodus in Kraft tritt.

    • Für ThinkSystem V3 und V4 Server: Wenn der FoD-Schlüssel für den strikten Modus auf XCC fehlt oder abgelaufen ist und XCC ein selbst signiertes TLS-Zertifikat verwendet, generiert XCC das selbst signierte TLS-Zertifikat auf Basis des konformen Algorithmus „Standard Strikt“. XClarity Administrator zeigt aufgrund eines Zertifikatsfehlers einen Verbindungsfehler an. Informationen zum Beheben des Fehlers mit nicht vertrauenswürdigen Zertifikaten finden Sie unter Ein nicht vertrauenswürdiges Serverzertifikat beheben. Wenn XCC ein angepasstes TLS-Zertifikat verwendet, gestattet XCC das Herabstufen und warnt Sie, dass Sie ein Serverzertifikat importieren müssen, das auf dem Verschlüsselungsmodus Standardsicherheit basiert.

Sie können die Sicherheitseinstellungen für die folgenden Einheiten ändern.
  • Lenovo ThinkSystem Server mit Intel oder AMD Prozessoren (außer SR635/SR655)
  • Lenovo ThinkSystem V2 Server
  • Lenovo ThinkSystem V3 Server mit Intel oder AMD Prozessoren
  • Lenovo ThinkSystem V4 Server
  • Lenovo ThinkEdge SE350 und SE450 Server
  • Lenovo System x Server

Weitere Informationen zum Festlegen der Sicherheitsmodi auf dem verwalteten Server finden Sie unter Sicherheitseinstellungen für einen verwalteten Server konfigurieren.