Aller au contenu principal

Configuration des paramètres cryptographiques sur le serveur de gestion

Vous pouvez configurer la version et le paramètre de chiffrement SSL/TLS pour le serveur de gestion.

Avant de commencer

Consultez les remarques sur le chiffrement avant de modifier les paramètres sur le serveur de gestion (voir Gestion cryptographique).

À propos de cette tâche

Le mode cryptographique détermine la façon dont les communications sécurisées sont gérées entre XClarity Administrator et tous les systèmes gérés. Si des communications sécurisées sont exécutées, elles définissent les longueurs de clé de chiffrement à utiliser.

Remarque
Quel que soit le mode cryptographique sélectionné, les générateurs de bits aléatoires numériques approuvés par le NIST sont toujours utilisés, et seules les clés de 128 bits au minimum sont utilisées pour le chiffrement symétrique.

Pour modifier le paramètre de sécurité des appareils gérés, voir Configuration des paramètres de sécurité pour un serveur géré.

Procédure

Pour changer les paramètres cryptographiques sur le serveur de gestion, procédez comme suit.

  1. Dans la barre de menus de XClarity Administrator, cliquez sur Administration > Sécurité.
  2. Choisissez l'un des modes cryptographiques suivants à utiliser pour les communications sécurisées :
    • Compatibilité. Ce mode est le mode par défaut. Il est compatible avec les anciennes versions de microprogramme, les navigateurs et les autres clients réseau qui n'implémentent pas les normes de sécurité strictes requises pour une compatibilité avec NIST SP 800-131A.
    • NIST SP 800-131A. Ce mode est conçu pour être conforme à la norme NIST SP 800-131A. XClarity Administrator est conçu pour toujours utiliser une cryptographie renforcée en interne et, le cas échéant, pour utiliser des connexions réseau à cryptographie forte. Toutefois, dans ce mode, les connexions réseau à l'aide d'une cryptographie qui n'est pas approuvée par NIST SP 800-131A ne sont pas autorisées, ce qui inclus le rejet des certificats de la sécurité de la couche de transport (TLS) signés avec SHA-1 ou un hachage plus faible.

      Si vous sélectionnez ce mode :
      • Pour tous les ports autres que le port 8443, tous les chiffrements TLS CBC et ceux qui ne prennent pas en charge Perfect Forward Secrecy sont désactivés.

      • Les notifications d'événements peuvent ne pas être correctement envoyées à certaines souscriptions d'appareil mobile (voir Acheminement des événements vers des appareils mobiles). Certains services externes, tels qu'Android et iOS, présentent des certificats signés avec SHA-1, qui est un algorithme non conforme aux exigences plus strictes du mode NIST SP 800-131A. Par conséquent, toutes les connexions à ces services peuvent échouer avec une exception de certificat ou un échec d'établissement d'une liaison.

      Pour plus d'informations sur la conformité à NIST SP 800-131A, voir Implémentation de la conformité avec la norme NIST SP 800-131A.
  3. Choisissez la version du protocole TLS minimale à utiliser pour les connexions client à d'autres serveurs (par exemple le serveur LDAP). Vous pouvez choisir l'option suivante.
    • TLS1.2. Applique les protocoles cryptographique TLS v1.2.
    • TLS1.3. Applique les protocoles cryptographique TLS v1.3.
  4. Choisissez la version du protocole TLS minimale à utiliser pour les connexions serveur (par exemple le serveur Web). Vous pouvez choisir l'option suivante.
    • TLS1.2. Applique les protocoles cryptographique TLS v1.2.
    • TLS1.3. Applique les protocoles cryptographique TLS v1.3.
  5. Choisissez la version de protocole TLS minimale à utiliser pour le déploiement du système d'exploitation et les mises à jour de pilote de périphérique SE XClarity Administrator. Vous pouvez choisir l'option suivante.
    • TLS1.2. Applique les protocoles cryptographique TLS v1.2.
    • TLS1.3. Applique les protocoles cryptographique TLS v1.3.
    Remarque
    Seuls les systèmes d'exploitation dont le processus d'installation prend en charge l'algorithme de chiffrement sélectionné ou un algorithme fort peuvent être déployés et mis à jour via XClarity Administrator.
  6. Sélectionnez la longueur de la clé de chiffrement et l’algorithme de hachage à utiliser pour toutes les parties du certificat, y compris le certificat de l’autorité de certification racine, le certificat du serveur et la demande CSR pour les certificats à signature externe.
    • RSA 2048 bits / SHA-256 (par défaut)

      Ce mode peut être utilisé lorsque les appareils gérés sont en mode Compatibilité, NIST SP 800-131A ou Sécurité standard. Ce mode ne peut pas être utilisé lorsqu’un ou plusieurs appareils gérés sont en mode Sécurité Entreprise Strict.

    • RSA 3072 bits / SHA-384

      Ce mode est requis lorsque les appareils gérés sont en mode Sécurité Entreprise Strict.

      Important
      Seuls les serveurs équipés de XCC2 prennent en charge les signatures de certificat RSA-3072/SHA-384. Après avoir configuré XClarity Administrator avec un certificat basé sur RSA-3072/SHA-384, la gestion des appareils non XCC2 prend fin. Pour gérer les appareils non XCC2, vous avez besoin d’une instance distincte de XClarity Administrator.
  7. Cliquez sur Appliquer.
  8. Redémarrez XClarity Administrator (voir Redémarrage de XClarity Administrator).
  9. Si vous avez modifié la longueur de clé de chiffrement, regénérez le certificat racine de l’autorité de certification en utilisant la clé de la bonne longueur et l'algorithme de hachage approprié (voir Régénération ou restauration du certificat de serveur auto-signé Lenovo XClarity Administrator ou Déploiement de certificats de serveur personnalisé sur Lenovo XClarity Administrator).

Après avoir terminé

Si vous recevez une alerte indiquant que le certificat du serveur n'est pas sécurisé pour un appareil géré, consultez Résolution d'un certificat du serveur non sécurisé.