Puede configurar la versión de SSL/TLS y los valores de cifrado para los servidores gestionados.
Acerca de esta tarea
Debe tener en cuenta las implicaciones siguientes que supone cambiar el modo criptográfico.
No se admite el cambio de los modos de Seguridad de compatibilidad o Seguridad estándar al modo de Seguridad estricta empresarial.
Si se actualiza del modo de Seguridad de compatibilidad al modo de Seguridad estándar, recibirá una advertencia si los certificados importados o las claves públicas SSH son no conformes. Sin embargo, aún podrá realizar la actualización al modo de Seguridad estándar.
Si se realiza una degradación del modo de Seguridad estricta empresarial al modo de Seguridad de compatibilidad o Seguridad estándar:
El servidor se reinicia automáticamente para que entre en vigor el modo de seguridad.
Si falta o caduca la clave FoD del modo estricto en el XCC2, y si XCC2 utiliza un certificado TLS autofirmado, XCC2 vuelve a generar el certificado TLS autofirmado en función del algoritmo de cumplimiento estricto estándar. XClarity Administrator muestra un error de conexión debido a un error de certificado. Para resolver el error de certificado no fiable, consulte Resolución de un certificado de servidor no fiable. Si XCC2 utiliza un certificado TLS personalizado, XCC2 permite la degradación y le advierte que debe importar un certificado de servidor basado en la criptografía del modo de Seguridad estándar.
El modo NIST SP 800-131A no es compatible con servidores con XCC2.
Si el modo criptográfico para XClarity Administrator está establecido en TLS v1.2, y si un servidor gestionado que usa autenticación gestionada tiene un modo de seguridad establecido en TLS v1.2, cambiar el modo de seguridad del servidor a TLS v1.3 mediante XClarity Administrator o XCC hará que el servidor esté fuera de línea de forma permanente.
Si el modo criptográfico para XClarity Administrator está establecido en TLS v1.2 y se intenta gestionar un servidor con XCC cuyo modo de seguridad está establecido en TLS v1.3, el servidor no se podrá gestionar mediante la autenticación gestionada.
Puede cambiar los valores de seguridad para los siguientes dispositivos.
Servidores Lenovo ThinkSystem con procesadores Intel o AMD (excepto SR635/SR655)
Servidores Lenovo ThinkSystem V2
Servidores Lenovo ThinkSystem V3 con procesadores Intel o AMD
Servidores Lenovo ThinkEdge SE350/SE450
Servidores Lenovo System x
Procedimiento
Para cambiar los valores de seguridad de servidores gestionados específicos, lleve a cabo los pasos siguientes:
- En el menú de XClarity Administrator, haga clic en . Se muestra la página Servidores con una vista de tabla de todos los servidores gestionados.
- Seleccione uno o más servidores.
- Configure el modo de seguridad.
Haga clic en para mostrar el cuadro de diálogo Establecer modo de seguridad del sistema.
El cuadro de diálogo muestra la cantidad de servidores que se pueden configurar en cada modo. Desplace el cursor por encima de cada número para mostrar un elemento emergente con la lista de los nombres de servidores correspondientes.
Seleccionar modo de seguridad. Puede presentar uno de los valores siguientes.
Seguridad de compatibilidad. Seleccione este modo cuando los servicios y los clientes requieran una criptografía que no sea compatible con CNSA/FIPS. Este modo admite una amplia gama de algoritmos criptográficos y permite habilitar todos los servicios.
NIST SP 800-131A. Seleccione este modo para garantizar el cumplimiento del estándar NIST SP 800-131A. Esto incluye restringir las claves RSA a 2048 bits o más, restringir los hash utilizados para las firmas digitales a SHA-256 o superior, y garantizar que solo se utilicen algoritmos de cifrado simétricos aprobados por NIST. Este modo requiere configurar el modo SSL/TLS en Servidor y cliente de TLS 1.2.
Este modo no es compatible con servidores con XCC2.
Seguridad estándar. (Únicamente servidores con XCC2) Este es el modo de seguridad predeterminado para servidores con XCC2. Seleccione este modo para garantizar el cumplimiento del estándar FIPS 140-3. Para que XCC funcione en el modo validado con FIPS 140-3, solo se pueden habilitar los servicios que admiten la criptografía de nivel FIPS 140-3. Los servicios que no admiten la criptografía de nivel FIPS 140-2/140-3 están deshabilitados de manera predeterminada, pero se pueden habilitar si es necesario. Si se habilita cualquier servicio que utilice criptografía de nivel FIPS 140-3, XCC no puede operar en el modo validado con FIPS 140-3. Este modo requiere certificados de nivel FIP.
Seguridad estricta empresarial. (solo servidores con XCC2) Este es el modo más seguro. Seleccione este modo para garantizar el cumplimiento del estándar CNSA. Solo se permiten los servicios que admiten criptografía de nivel CNSA. Los servicios no seguros están deshabilitados de forma predeterminada y no se pueden habilitar. Este modo requiere certificados de nivel CNSA.
XClarity Administrator utiliza firmas del certificado RSA-3072/SHA-384 para servidores en el modo de Seguridad estricta empresarial.
La clave de característica bajo demanda de XCC2 se debe instalar en cada uno de los servidores con XCC2 seleccionados para utilizar este modo.
En este modo, si XClarity Administrator utiliza un certificado autofirmado, XClarity Administrator debe utilizar un certificado raíz y un certificado de servidor basados en RSA3072/SHA384. Si XClarity Administrator utiliza un certificado externo firmado, XClarity Administrator debe generar una CSR basada en RSA3072/SHA384 y ponerse en contacto con la CA externa para firmar un nuevo certificado de servidor basado en RSA3072/SHA384.
Cuando XClarity Administrator utiliza un certificado basado en RSA3072/SHA384, XClarity Administrator puede desconectar dispositivos que no sean servidores y chasis de Flex System (CMMS), servidores ThinkSystem, servidores ThinkServer, servidores System x M4 y M5, conmutadores de la serie Lenovo ThinkSystem DB, Lenovo RackSwitch, conmutadores Flex System, conmutadores Mellanox, dispositivos de almacenamiento ThinkSystem DE/DM, almacenamiento de biblioteca de cintas de IBM y servidores ThinkSystem SR635/SR655 actualizados con firmware anterior a 22C. Para continuar gestionando los dispositivos desconectados, configure otra instancia de XClarity Administrator con un certificado basado en RSA2048/SHA384.
Haga clic en Aplicar.
- Configure la versión mínima de TLS.
Haga clic en para mostrar el cuadro de diálogo Establecer versión TLS del sistema.
Seleccione la versión mínima del protocolo TLS que se usará en las conexiones del cliente a otros servidores (como las conexiones de cliente LDAP a un servidor LDAP). El valor se configura en los dispositivos seleccionados que admiten este valor. Puede elegir la siguiente opción.
- TLS1.2. Aplica los protocolos de criptografía TLS v1.2.
- TLS1.3. Aplica los protocolos de criptografía TLS v1.3.
Los dispositivos System x y CMM solo admiten TLS v1.2.
Haga clic en Aplicar.