Sie können die SSL/TLS-Version und die Verschlüsselungseinstellung für verwaltete Server konfigurieren.
Zu dieser Aufgabe
Beachten Sie die folgenden Auswirkungen, die eine Änderung des Verschlüsselungsmodus mit sich bringt.
Der Wechsel vom Modus Kompatibilität für Sicherheit oder Standardsicherheit zum Modus „Enterprise Strikt“-Sicherheit wird nicht unterstützt.
Wenn Sie ein Upgrade vom Modus Kompatibilität für Sicherheit zu Standardsicherheit ausführen, werden Sie gewarnt, wenn importierte Zertifikate oder öffentliche SSH-Schlüssel nicht konform sind. Sie können trotzdem ein Upgrade auf den Modus Standardsicherheit durchführen.
Bei einem Herunterstufen vom Modus „Enterprise Strikt“-Sicherheit zum Modus Kompatibilität für Sicherheit oder Standardsicherheit:
Der Server wird automatisch neu gestartet, damit der Sicherheitsmodus in Kraft tritt.
Wenn der FoD-Schlüssel für den strikten Modus auf dem XCC2 fehlt oder abgelaufen ist und XCC2 ein selbst signiertes TLS-Zertifikat verwendet, generiert XCC2 das selbst signierte TLS-Zertifikat auf Basis des konformen Algorithmus „Standard Strikt“. XClarity Administrator zeigt aufgrund eines Zertifikatsfehlers einen Verbindungsfehler an. Informationen zum Beheben des Fehlers mit nicht vertrauenswürdigen Zertifikaten finden Sie unter Ein nicht vertrauenswürdiges Serverzertifikat beheben. Wenn XCC2 ein angepasstes TLS-Zertifikat verwendet, gestattet XCC2 das Herabstufen und warnt Sie, dass Sie ein Serverzertifikat importieren müssen, das auf dem Verschlüsselungsmodus Standardsicherheit basiert.
Der Modus NIST SP 800-131A wird nicht für Server mit XCC2 unterstützt.
Wenn der Verschlüsselungsmodus für XClarity Administrator auf „TLS v1.2“ festgelegt ist und bei einem verwalteten Server mit verwalteter Authentifizierung der Sicherheitsmodus „TLS v1.2“ festgelegt ist, führt das Ändern des Serversicherheitsmodus zu „TLS v1.3“ mit XClarity Administrator oder XCC dazu, der Server dauerhaft offline ist.
Wenn der Verschlüsselungsmodus für XClarity Administrator auf „TLS v1.2“ festgelegt ist und Sie versuchen, einen Server mit XCC zu verwalten, dessen Sicherheitsmodus auf „TLS v1.3“ festgelegt ist, kann der Server nicht mit verwalteter Authentifizierung verwaltet werden.
Sie können die Sicherheitseinstellungen für die folgenden Einheiten ändern.
Lenovo ThinkSystem Server mit Intel oder AMD Prozessoren (außer SR635/SR655)
Lenovo ThinkSystem V2 Server
Lenovo ThinkSystem V3 Server mit Intel oder AMD Prozessoren
Lenovo ThinkEdge SE350/SE450 Server
Lenovo System x Server
Vorgehensweise
Gehen Sie wie folgt vor, um die Sicherheitseinstellungen für bestimmte verwaltete Server zu ändern.
- Klicken Sie im XClarity Administrator-Menü auf . Die Seite Server wird aufgerufen, die eine Tabellenansicht aller verwalteten Server enthält.
- Wählen Sie einen oder mehrere Server aus.
- Konfigurieren Sie den Sicherheitsmodus.
Klicken Sie auf , um das Dialogfenster Systemsicherheitsmodus festlegen anzuzeigen.
Im Dialogfenster wird die Anzahl der Server aufgeführt, die für jeden Modus festgelegt werden können. Bewegen Sie den Cursor über die einzelnen Zahlen, um ein Popup mit einer Liste der anwendbaren Servernamen anzuzeigen.
Wählen Sie den Sicherheitsmodus aus. Es kann einen der folgenden Werte aufweisen.
Kompatibilität für Sicherheit. Wählen Sie diesen Modus aus, wenn Services und Clients eine Verschlüsselung erfordern, die nicht CNSA/FIPS entspricht. Dieser Modus unterstützt eine Vielzahl von Verschlüsselungsalgorithmen und ermöglicht die Aktivierung aller Services.
NIST SP 800-131A. Wählen Sie diesen Modus aus, um die Einhaltung des Standards NIST SP 800-131A sicherzustellen. Eingeschlossen sind hier einschränkende RSA-Schlüssel bis 2048 Bit oder höher und einschränkende Hashwerte für digitale Signaturen für SHA-256 oder länger. Des Weiteren muss sichergestellt werden, dass nur NIST-zertifizierte, symmetrische Verschlüsselungsalgorithmen verwendet werden. Für diesen Modus muss der SSL/TLS-Modus auf TLS 1.2 Server Client festgelegt werden.
Dieser Modus wird nicht für Server mit XCC2 unterstützt.
Standardsicherheit. (Nur Server mit XCC2) Dies ist der Standardsicherheitsmodus für Server mit XCC2. Wählen Sie diesen Modus aus, um die Einhaltung des Standards FIPS 140-3 sicherzustellen. Damit XCC im überprüften FIPS 140-3-Modus betrieben wird, können nur Services aktiviert werden, die eine Verschlüsselung auf FIPS 140-3-Ebene unterstützen. Services, die keine Verschlüsselung auf FIPS 140-2/140-3-Ebene unterstützen, werden standardmäßig deaktiviert, aber können bei Bedarf aktiviert werden. Wenn ein Service aktiviert ist, der eine Verschlüsselung verwendet, die nicht auf FIPS 140-3-Ebene ist, kann XCC nicht im überprüften FIPS 140-3-Modus betrieben werden. Dieser Modus erfordert Zertifikate auf FIPS-Ebene.
„Enterprise Strikt“-Sicherheit. (Nur Server mit XCC2) Dies ist der sicherste Modus. Wählen Sie diesen Modus aus, um die Einhaltung des CNSA-Standards sicherzustellen. Es sind nur Services zulässig, die die Verschlüsselung auf CNSA-Ebene unterstützen. Unsichere Services sind standardmäßig deaktiviert und können nicht aktiviert werden. Dieser Modus erfordert Zertifikate auf CNSA-Ebene.
XClarity Administrator verwendet RSA-3072/SHA-384-Zertifikatsignaturen für Server im Modus „Enterprise Strikt“-Sicherheit.
Der XCC2 FoD-Schlüssel (Feature On Demand) muss bei jedem ausgewählten Server mit XCC2 installiert sein, damit dieser Modus verwendet werden kann.
Wenn XClarity Administrator ein selbst signiertes Zertifikat nutzt, muss XClarity Administrator in diesem Modus ein RSA-3072/SHA-384-basiertes Stammzertifikat und Serverzertifikat verwenden. Wenn XClarity Administrator ein extern signiertes Zertifikat verwendet, muss XClarity Administrator eine RSA-3072/SHA-384-basierte Zertifikatssignieranforderung generieren und die externe Zertifizierungsstelle kontaktieren, um ein neues Serverzertifikat auf Basis von RSA-3072/SHA-384 zu signieren.
Wenn XClarity Administrator ein RSA-3072/SHA-384-basiertes Zertifikat verwendet, trennt XClarity Administrator möglicherweise Einheiten mit Ausnahme von Flex System Gehäusen (CMMs) und Servern, ThinkSystem Servern, ThinkServer Servern, System x M4 und M5 Servern, Switches der Lenovo ThinkSystem DB Serie, Lenovo RackSwitch, Flex System Switches, Mellanox Switches, Speichereinheiten der ThinkSystem DE/DM Serie, IBM Bandbibliotheksspeicher und ThinkSystem SR635/SR655 Server, auf denen Firmware vor 22C geflasht ist. Um die getrennten Einheiten weiterhin zu verwalten, müssen Sie eine weitere XClarity Administrator-Instanz mit einem RSA-2048/SHA-384-basierten Zertifikat einrichten.
Klicken Sie auf Übernehmen.
- Konfigurieren Sie die Mindest-TLS-Version.
Klicken Sie auf , um das Dialogfenster System TLS-Version festlegen anzuzeigen.
Legen Sie die Mindest-TLS-Protokollversion fest, die für Clientverbindungen mit anderen Servern (z. B. LDAP-Client zu LDAP-Server) verwendet werden muss. Der Wert wird auf ausgewählten Einheiten konfiguriert, die diese Einstellung unterstützen. Die folgenden Optionen stehen zur Verfügung.
- TLS1.2. Erzwingt die Verwendung des Verschlüsselungsprotokolls TLS v1.2.
- TLS1.3. Erzwingt die Verwendung des Verschlüsselungsprotokolls TLS v1.3.
System x und CMM-Einheiten unterstützen nur TLS v1.2.
Klicken Sie auf Übernehmen.