Verschlüsselungsverwaltung
Die Verschlüsselungsverwaltung besteht aus Kommunikationsmodi und -protokollen, die die Methode für eine sichere Kommunikation zwischen Lenovo XClarity Administrator und den verwalteten Systemen (wie Gehäusen, Servern und Flex-Switches) steuern.
Verschlüsselungsalgorithmen
XClarity Administrator unterstützt TLS 1.2 und stärkere Verschlüsselungsalgorithmen für sichere Netzwerkverbindungen.
SSH-ED25519
SSH-ED25519-CERT-V01@OPENSSH.COM
ECDSA-SHA2-NISTP256
ECDSA-SHA2-NISTP256-CERT-V01@OPENSSH.COM
ECDSA-SHA2-NISTP384
ECDSA-SHA2-NISTP384-CERT-V01@OPENSSH.COM
ECDSA-SHA2-NISTP521
ECDSA-SHA2-NISTP521-CERT-V01@OPENSSH.COM
RSA-SHA2-512
RSA-SHA2-256
RSA-SHA2-384
Verschlüsselungsmodi für den Verwaltungsserver
- Kompatibilität. Dies ist der Standardmodus. Er ist kompatibel mit älteren Firmwareversionen, Browsern und anderen Netzwerkclients, auf denen nicht die strengeren Sicherheitsstandards implementiert werden, die für die Konformität mit NIST SP 800-131A erforderlich sind.
NIST SP 800-131A. Dieser Modus entspricht dem NIST SP 800-131A-Standard. XClarity Administrator ist so konzipiert, dass intern immer eine starke Verschlüsselung und, sofern verfügbar, stark verschlüsselte Netzwerkverbindungen verwendet werden. Allerdings sind in diesem Modus Netzverbindungen unzulässig, die eine von NIST SP 800-131A nicht genehmigte Verschlüsselung verwenden; so werden z. B. Transport Layer Security (TLS)-Zertifikate zurückgewiesen, die mit SHA-1 oder schwächerem Hash signiert sind.
Beachten Sie bei Auswahl dieses Modus Folgendes:Für alle Ports außer Port 8443 sind alle TLS-CBC-Codierschlüssel und alle Codierschlüssel deaktiviert, die kein Perfect Forward Secrecy unterstützen.
Ereignisbenachrichtigungen werden möglicherweise nicht erfolgreich an einige Mobilgeräteabonnements weitergeleitet (siehe Ereignisse an mobile Einheiten weiterleiten). Externe Services wie Android und iOS legen SHA-1-signierte Zertifikate vor; dieser Algorithmus entspricht nicht den strikten Anforderungen von NIST SP 800-131A. Dementsprechend können bei Verbindungen zu diesen Services Zertifikatsausnahmen oder Handshakefehler auftreten.
Weitere Informationen zum Festlegen der Sicherheitsmodi auf dem Verwaltungsserver finden Sie unter Verschlüsselungseinstellungen auf dem Verwaltungsserver konfigurieren.
Sicherheitsmodi für verwaltete Server
Kompatibilität für Sicherheit. Wählen Sie diesen Modus aus, wenn Services und Clients eine Verschlüsselung erfordern, die nicht CNSA/FIPS entspricht. Dieser Modus unterstützt eine Vielzahl von Verschlüsselungsalgorithmen und ermöglicht die Aktivierung aller Services.
NIST SP 800-131A. Wählen Sie diesen Modus aus, um die Einhaltung des Standards NIST SP 800-131A sicherzustellen. Eingeschlossen sind hier einschränkende RSA-Schlüssel bis 2048 Bit oder höher und einschränkende Hashwerte für digitale Signaturen für SHA-256 oder länger. Des Weiteren muss sichergestellt werden, dass nur NIST-zertifizierte, symmetrische Verschlüsselungsalgorithmen verwendet werden. Für diesen Modus muss der SSL/TLS-Modus auf TLS 1.2 Server Client festgelegt werden.
Dieser Modus wird nicht für Server mit XCC2 unterstützt.
Standardsicherheit. (Nur Server mit XCC2) Dies ist der Standardsicherheitsmodus für Server mit XCC2. Wählen Sie diesen Modus aus, um die Einhaltung des Standards FIPS 140-3 sicherzustellen. Damit XCC im überprüften FIPS 140-3-Modus betrieben wird, können nur Services aktiviert werden, die eine Verschlüsselung auf FIPS 140-3-Ebene unterstützen. Services, die keine Verschlüsselung auf FIPS 140-2/140-3-Ebene unterstützen, werden standardmäßig deaktiviert, aber können bei Bedarf aktiviert werden. Wenn ein Service aktiviert ist, der eine Verschlüsselung verwendet, die nicht auf FIPS 140-3-Ebene ist, kann XCC nicht im überprüften FIPS 140-3-Modus betrieben werden. Dieser Modus erfordert Zertifikate auf FIPS-Ebene.
„Enterprise Strikt“-Sicherheit. (Nur Server mit XCC2) Dies ist der sicherste Modus. Wählen Sie diesen Modus aus, um die Einhaltung des CNSA-Standards sicherzustellen. Es sind nur Services zulässig, die die Verschlüsselung auf CNSA-Ebene unterstützen. Unsichere Services sind standardmäßig deaktiviert und können nicht aktiviert werden. Dieser Modus erfordert Zertifikate auf CNSA-Ebene.
XClarity Administrator verwendet RSA-3072/SHA-384-Zertifikatsignaturen für Server im Modus „Enterprise Strikt“-Sicherheit.
WichtigDer XCC2 FoD-Schlüssel (Feature On Demand) muss bei jedem ausgewählten Server mit XCC2 installiert sein, damit dieser Modus verwendet werden kann.
Wenn XClarity Administrator ein selbst signiertes Zertifikat nutzt, muss XClarity Administrator in diesem Modus ein RSA-3072/SHA-384-basiertes Stammzertifikat und Serverzertifikat verwenden. Wenn XClarity Administrator ein extern signiertes Zertifikat verwendet, muss XClarity Administrator eine RSA-3072/SHA-384-basierte Zertifikatssignieranforderung generieren und die externe Zertifizierungsstelle kontaktieren, um ein neues Serverzertifikat auf Basis von RSA-3072/SHA-384 zu signieren.
Wenn XClarity Administrator ein RSA-3072/SHA-384-basiertes Zertifikat verwendet, trennt XClarity Administrator möglicherweise Einheiten mit Ausnahme von Flex System Gehäusen (CMMs) und Servern, ThinkSystem Servern, ThinkServer Servern, System x M4 und M5 Servern, Switches der Lenovo ThinkSystem DB Serie, Lenovo RackSwitch, Flex System Switches, Mellanox Switches, Speichereinheiten der ThinkSystem DE/DM Serie, IBM Bandbibliotheksspeicher und ThinkSystem SR635/SR655 Server, auf denen Firmware vor 22C geflasht ist. Um die getrennten Einheiten weiterhin zu verwalten, müssen Sie eine weitere XClarity Administrator-Instanz mit einem RSA-2048/SHA-384-basierten Zertifikat einrichten.
Der Wechsel vom Modus Kompatibilität für Sicherheit oder Standardsicherheit zum Modus „Enterprise Strikt“-Sicherheit wird nicht unterstützt.
Wenn Sie ein Upgrade vom Modus Kompatibilität für Sicherheit zu Standardsicherheit ausführen, werden Sie gewarnt, wenn importierte Zertifikate oder öffentliche SSH-Schlüssel nicht konform sind. Sie können trotzdem ein Upgrade auf den Modus Standardsicherheit durchführen.
Bei einem Herunterstufen vom Modus „Enterprise Strikt“-Sicherheit zum Modus Kompatibilität für Sicherheit oder Standardsicherheit:
Der Server wird automatisch neu gestartet, damit der Sicherheitsmodus in Kraft tritt.
Wenn der FoD-Schlüssel für den strikten Modus auf dem XCC2 fehlt oder abgelaufen ist und XCC2 ein selbst signiertes TLS-Zertifikat verwendet, generiert XCC2 das selbst signierte TLS-Zertifikat auf Basis des konformen Algorithmus „Standard Strikt“. XClarity Administrator zeigt aufgrund eines Zertifikatsfehlers einen Verbindungsfehler an. Informationen zum Beheben des Fehlers mit nicht vertrauenswürdigen Zertifikaten finden Sie unter Ein nicht vertrauenswürdiges Serverzertifikat beheben. Wenn XCC2 ein angepasstes TLS-Zertifikat verwendet, gestattet XCC2 das Herabstufen und warnt Sie, dass Sie ein Serverzertifikat importieren müssen, das auf dem Verschlüsselungsmodus Standardsicherheit basiert.
- Der Modus NIST SP 800-131A wird nicht für Server mit XCC2 unterstützt.
- Sie können die verwaltete Authentifizierung nicht verwenden, um einen ThinkSystem oder ThinkAgile Server zu verwalten, wenn der XCC-Sicherheitsmodus auf TLS v1.3 festgelegt ist.
- Bei einem ThinkSystem oder ThinkAgile Server, der mit verwalteter Authentifizierung verwaltet wird, führt das Ändern des XCC-Sicherheitsmodus zu TLS v1.3 mit XClarity Administrator oder XCC dazu, dass der Server offline geht.
- Lenovo ThinkSystem Server mit Intel oder AMD Prozessoren (außer SR635/SR655)
- Lenovo ThinkSystem V2 Server
- Lenovo ThinkSystem V3 Server mit Intel oder AMD Prozessoren
- Lenovo ThinkEdge SE350/SE450 Server
- Lenovo System x Server
Weitere Informationen zum Festlegen der Sicherheitsmodi auf dem verwalteten Server finden Sie unter Sicherheitseinstellungen für einen verwalteten Server konfigurieren.