Sie können die SSL/TLS-Version und die Verschlüsselungseinstellung für verwaltete Server konfigurieren.
Zu dieser Aufgabe
Beachten Sie die folgenden Auswirkungen, die eine Änderung des Verschlüsselungsmodus mit sich bringt.
Für XClarity Administrator v4.2 und vorherige Versionen:
- Um die verwaltete Authentifizierung für die Verwaltung eines ThinkSystem oder ThinkAgile Servers zu verwenden, wenn die TLS-Version auf dem XCC auf v1.3 festgelegt ist, muss die Mindest-TLS-Version für Server in XClarity Administrator ebenfalls auf TLS v1.3 festgelegt sein (siehe Verschlüsselungseinstellungen auf dem Verwaltungsserver konfigurieren).
- Für XClarity Administrator v4.0 und vorherige Versionen:
- Sie können die verwaltete Authentifizierung nicht verwenden, um einen ThinkSystem oder ThinkAgile Server zu verwalten, wenn der XCC-Sicherheitsmodus auf TLS v1.3 festgelegt ist.
- Bei einem ThinkSystem oder ThinkAgile Server, der mit verwalteter Authentifizierung verwaltet wird, führt das Ändern des XCC-Sicherheitsmodus zu TLS v1.3 mit XClarity Administrator oder XCC dazu, dass der Server offline geht.
Der Wechsel vom Modus Kompatibilität für Sicherheit oder Standardsicherheit zum Modus „Enterprise Strikt“-Sicherheit wird nicht unterstützt.
Wenn Sie ein Upgrade vom Modus Kompatibilität für Sicherheit zu Standardsicherheit ausführen, werden Sie gewarnt, wenn importierte Zertifikate oder öffentliche SSH-Schlüssel nicht konform sind. Sie können trotzdem ein Upgrade auf den Modus Standardsicherheit durchführen.
Bei einem Herunterstufen vom Modus „Enterprise Strikt“-Sicherheit zum Modus Kompatibilität für Sicherheit oder Standardsicherheit:
Der Server wird automatisch neu gestartet, damit der Sicherheitsmodus in Kraft tritt.
Für ThinkSystem V3 und V4 Server: Wenn der FoD-Schlüssel für den strikten Modus auf XCC fehlt oder abgelaufen ist und XCC ein selbst signiertes TLS-Zertifikat verwendet, generiert XCC das selbst signierte TLS-Zertifikat auf Basis des konformen Algorithmus „Standard Strikt“. XClarity Administrator zeigt aufgrund eines Zertifikatsfehlers einen Verbindungsfehler an. Informationen zum Beheben des Fehlers mit nicht vertrauenswürdigen Zertifikaten finden Sie unter Ein nicht vertrauenswürdiges Serverzertifikat beheben. Wenn XCC ein angepasstes TLS-Zertifikat verwendet, gestattet XCC das Herabstufen und warnt Sie, dass Sie ein Serverzertifikat importieren müssen, das auf dem Verschlüsselungsmodus Standardsicherheit basiert.
Sie können die Sicherheitseinstellungen für die folgenden Einheiten ändern.
- Lenovo ThinkSystem Server mit Intel oder AMD Prozessoren (außer SR635/SR655)
- Lenovo ThinkSystem V2 Server
- Lenovo ThinkSystem V3 Server mit Intel oder AMD Prozessoren
- Lenovo ThinkSystem V4 Server
- Lenovo ThinkEdge SE350 und SE450 Server
- Lenovo System x Server
Vorgehensweise
Gehen Sie wie folgt vor, um die Sicherheitseinstellungen für bestimmte verwaltete Server zu ändern.
- Klicken Sie im XClarity Administrator-Menü auf . Die Seite Server wird aufgerufen, die eine Tabellenansicht aller verwalteten Server enthält.
- Wählen Sie einen oder mehrere Server aus.
- Konfigurieren Sie den Sicherheitsmodus.
Klicken Sie auf , um das Dialogfenster Systemsicherheitsmodus festlegen anzuzeigen.
Im Dialogfenster wird die Anzahl der Server aufgeführt, die für jeden Modus festgelegt werden können. Bewegen Sie den Cursor über die einzelnen Zahlen, um ein Popup mit einer Liste der anwendbaren Servernamen anzuzeigen.
Wählen Sie den Sicherheitsmodus aus. Es kann einen der folgenden Werte aufweisen.
Kompatibilität für Sicherheit. Wählen Sie diesen Modus aus, wenn Services und Clients eine Verschlüsselung erfordern, die nicht CNSA/FIPS entspricht. Dieser Modus unterstützt eine Vielzahl von Verschlüsselungsalgorithmen und ermöglicht die Aktivierung aller Services.
NIST SP 800-131A. Wählen Sie diesen Modus aus, um die Einhaltung des Standards NIST SP 800-131A sicherzustellen. Eingeschlossen sind hier einschränkende RSA-Schlüssel bis 2048 Bit oder höher und einschränkende Hashwerte für digitale Signaturen für SHA-256 oder länger. Des Weiteren muss sichergestellt werden, dass nur NIST-zertifizierte, symmetrische Verschlüsselungsalgorithmen verwendet werden. Für diesen Modus muss der SSL/TLS-Modus auf TLS 1.2 Server Client festgelegt werden.
Dieser Modus wird für ThinkSystem V1 und V2 Server unterstützt.
Standardsicherheit. Dies ist der Standardsicherheitsmodus für ThinkSystem V3 und V4 Server. Wählen Sie diesen Modus aus, um die Einhaltung des Standards FIPS 140-3 sicherzustellen. Damit XCC im überprüften FIPS 140-3-Modus betrieben wird, können nur Services aktiviert werden, die eine Verschlüsselung auf FIPS 140-3-Ebene unterstützen. Services, die keine Verschlüsselung auf FIPS 140-2/140-3-Ebene unterstützen, werden standardmäßig deaktiviert, aber können bei Bedarf aktiviert werden. Wenn ein Service aktiviert ist, der eine Verschlüsselung verwendet, die nicht auf FIPS 140-3-Ebene ist, kann XCC nicht im überprüften FIPS 140-3-Modus betrieben werden. Dieser Modus erfordert Zertifikate auf FIPS-Ebene.
„Enterprise Strikt“-Sicherheit. Dies ist der sicherste Modus für ThinkSystem V3 und V4 Server. Wählen Sie diesen Modus aus, um die Einhaltung des CNSA-Standards sicherzustellen. Es sind nur Services zulässig, die die Verschlüsselung auf CNSA-Ebene unterstützen. Unsichere Services sind standardmäßig deaktiviert und können nicht aktiviert werden. Dieser Modus erfordert Zertifikate auf CNSA-Ebene.
XClarity Administrator verwendet RSA-3072 Bit/SHA-384-Zertifikatsignaturen für Server im Modus „Enterprise Strikt“-Sicherheit.
Der XCC FoD-Schlüssel (Feature On Demand) muss bei jedem ausgewählten ThinkSystem V3 und V4 Server (mit XCC2 oder XCC3) installiert sein, damit dieser Modus verwendet werden kann.
Wenn XClarity Administrator in diesem Modus ein selbstsigniertes Zertifikat verwendet, muss XClarity Administrator RSA 3072 Bit/SHA-384-basierte Stammzertifikate und Serverzertifikate verwenden. Wenn XClarity Administrator ein extern signiertes Zertifikat verwendet, muss XClarity Administrator eine RSA-3072 Bit/SHA-384-basierte Zertifikatssignieranforderung generieren und die externe Zertifizierungsstelle kontaktieren, um ein neues Serverzertifikat auf Basis von RSA-3072 Bit/SHA-384 zu signieren.
Wenn XClarity Administrator ein RSA-3072 Bit/SHA-384-basiertes Zertifikat verwendet, trennt XClarity Administrator möglicherweise Einheiten mit Ausnahme von Flex System Gehäusen (CMMS) und Servern, ThinkSystem Servern, ThinkServer Servern, System x M4 und M5 Servern, Switches der Lenovo ThinkSystem DB Serie, Lenovo RackSwitch, Flex System Switches, Mellanox Switches, Speichereinheiten der ThinkSystem DE/DM Serie, IBM Bandbibliotheksspeicher und ThinkSystem SR635/SR655 Server, auf denen Firmware vor 22C geflasht ist. Um die getrennten Geräte weiterhin zu verwalten, richten Sie eine weitere XClarity Administrator-Instanz mit einem 2048 Bit/SHA-256-basierten Zertifikat ein.
Hochsicherheit. Dies ist der sicherste Modus für ThinkSystem V1 und V2 Server. Wählen Sie diesen Modus, um die Einhaltung der NIST- und PFS-Standards (Perfect Forward Secrecy) sicherzustellen.
Dieser Modus wird nur für ThinkSystem V1 und V2 Server unterstützt. Eine XCC-Firmwareversion, die im zweiten Quartal 2023 oder später veröffentlicht wurde, ist erforderlich.
Klicken Sie auf Übernehmen.
- Konfigurieren Sie die Mindest-TLS-Version.
Klicken Sie auf , um das Dialogfenster System TLS-Version festlegen anzuzeigen.
Legen Sie die Mindest-TLS-Protokollversion fest, die für Clientverbindungen mit anderen Servern (z. B. LDAP-Client zu LDAP-Server) verwendet werden muss. Der Wert wird auf ausgewählten Einheiten konfiguriert, die diese Einstellung unterstützen. Die folgenden Optionen stehen zur Verfügung.
- TLS1.2. Erzwingt die Verwendung des Verschlüsselungsprotokolls TLS v1.2.
- TLS1.3. Erzwingt die Verwendung des Verschlüsselungsprotokolls TLS v1.3.
System x und CMM-Einheiten unterstützen nur TLS v1.2.
Klicken Sie auf Übernehmen.