Puede configurar la versión de SSL/TLS y los valores de cifrado para el servidor de gestión.
Antes de empezar
Revise las consideraciones sobre criptografía antes de modificar los valores en el servidor de gestión (consulte Gestión criptográfica).
Acerca de esta tarea
El modo criptográfico determina el grado de seguridad con el que se manejan las comunicaciones entre XClarity Administrator y todos los sistemas gestionados. Establece la longitud de las claves de cifrado que se van a utilizar si se han implementado comunicaciones seguras.
Independientemente del modo criptográfico que seleccione, siempre se utilizan generadores de bits aleatorios digitales aprobados por NIST y solo se utilizan claves de 128 bits o de mayor longitud para el cifrado simétrico.
Para cambiar el valor de seguridad de los dispositivos gestionados, consulte Configuración de los valores de seguridad para un servidor gestionado.
Procedimiento
Para cambiar los valores criptográficos en el servidor de gestión, lleve a cabo los pasos siguientes.
- En la barra de menús de XClarity Administrator , haga clic en .
- Elija uno de los siguientes modos criptográficos para utilizar comunicaciones seguras:
- Compatibilidad. Este es el modo predeterminado. Es compatible con versiones de firmware más antiguas, navegadores y otros clientes de red que no implementan los estrictos estándares de seguridad que se necesitan para la conformidad con NIST SP 800-131A.
NIST SP 800-131A. Este modo está diseñado para cumplir con el estándar NIST SP 800-131A. XClarity Administrator está diseñado para utilizar siempre una criptografía compleja internamente y, donde proceda, utilizar conexiones de red basadas en criptografías complejas. Sin embargo, con este modo, no se permiten las conexiones de red que utilizan una criptografía que no está aprobada por NIST SP 800-131A, incluido el rechazo de certificados de seguridad de la capa de transporte (TLS) firmados con un hash SHA-1 o más débil.
Si selecciona este modo:
Para todos los puertos que no sean el puerto 8443, se desactivan todos los cifrados TLS CBC y todos los cifrados que no admiten Perfect Forward Secrecy.
Las notificaciones de sucesos no se pueden enviar correctamente a algunas suscripciones de dispositivos móviles (consulte Reenviar sucesos a dispositivos móviles). Los servicios externos, tales como Android e iOS, presentan certificados que están firmados con SHA-1, que es un algoritmo que no se ajusta a los requisitos más estrictos del modo NIST SP 800-131A. Como resultado, cualquier conexión a estos servicios puede fallar con una excepción del certificado o una falla del protocolo de enlace.
Para obtener más información acerca de la conformidad con
NIST SP 800-131A, consulte
Implementación de la conformidad con NIST SP 800-131A.
- Elija la versión mínima del protocolo TLS que se utilizará en las conexiones del cliente a otros servidores (como el servidor LDAP). Puede elegir la siguiente opción.
- TLS1.2. Aplica los protocolos de criptografía TLS v1.2.
- TLS1.3. Aplica los protocolos de criptografía TLS v1.3.
- Elija la versión mínima del protocolo TLS a utilizar para conexiones de servidor (como el servidor web). Puede elegir la siguiente opción.
- TLS1.2. Aplica los protocolos de criptografía TLS v1.2.
- TLS1.3. Aplica los protocolos de criptografía TLS v1.3.
- Elija la versión mínima del protocolo TLS para usar en el despliegue del sistema operativo XClarity Administrator y las actualizaciones de controladores de dispositivos de SO. Puede elegir la siguiente opción.
- TLS1.2. Aplica los protocolos de criptografía TLS v1.2.
- TLS1.3. Aplica los protocolos de criptografía TLS v1.3.
Solo se podrán desplegar y actualizar mediante XClarity Administrator aquellos sistemas operativos con un proceso de instalación que admita algoritmos criptográficos seleccionados o complejos.
- Seleccione la longitud de la clave criptográfica y el algoritmo hash que se utilizará en todas las partes del certificado, incluido el certificado raíz de la CA, el certificado de servidor y la CSR para los certificados firmados externamente.
RSA de 2048 bits/SHA-256 (predeterminado)
Este modo se puede usar cuando los dispositivos gestionados están en modo de compatibilidad, NIST SP 800-131A o seguridad estándar. Este modo no se puede usar cuando uno o más dispositivos gestionados están en el modo de Seguridad estricta empresarial.
RSA de 3072 bits/SHA-384
Este modo es necesario cuando los dispositivos gestionados están en el modo de Seguridad estricta empresarial.
Solo los servidores con XCC2 admiten firmas de certificado RSA-3072/SHA-384. Después de configurar XClarity Administrator con un certificado basado en RSA-3072/SHA-384, se anula la gestión de los dispositivos que no sean XCC2. Para gestionar dispositivos que no sean XCC2, sea necesita una instancia de XClarity Administrator separada.
- Haga clic en Aplicar.
- Reinicie XClarity Administrator (consulte Reiniciar XClarity Administrator).
- Si cambió la longitud de la clave criptográfica, vuelva a generar el certificado raíz de la entidad de certificación con la longitud de clave y el algoritmo hash correctos (consulte Regenerar o restaurar el certificado de servidor autofirmado de Lenovo XClarity Administrator o Desplegar certificados de servidor personalizado en Lenovo XClarity Administrator).
Después de finalizar
Si recibe una alerta de que el certificado de servidor no es de confianza para un dispositivo gestionado, consulte Resolución de un certificado de servidor no fiable.