Aller au contenu principal

Configuration des paramètres de sécurité pour un serveur géré

Vous pouvez configurer la version et le paramètre de chiffrement SSL/TLS pour les serveurs gérés.

À propos de cette tâche

Tenez compte des impacts suivants de la modification du mode cryptographique.
  • La permutation du mode Mode de sécurité compatibilité ou du mode Sécurité standard ou au mode Sécurité Entreprise Strict n'est pas pris en charge.

  • Si vous effectuez une mise à niveau du mode Mode de sécurité compatibilité au mode Sécurité standard, vous recevez un avertissement si les certificats ou les clés publiques SSH importés ne sont pas conformes, mais vous pouvez tout de même passer au mode Sécurité standard.

  • Si vous rétrogradez du mode Sécurité Entreprise Strict au mode Mode de sécurité compatibilité ou au mode Sécurité standard :

    • Le serveur est automatiquement redémarré pour que le mode de sécurité prenne effet.

    • Si la clé FoD du mode strict est manquante ou expirée sur XCC2, et si XCC2 utilise un certificat TLS autosigné, XCC2 regénère le certificat TLS autosigné à partir de l’algorithme de conformité Strict standard. XClarity Administrator affiche un échec de connexion en raison d’une erreur de certificat. Pour résoudre l’erreur de certificat non sécurisé, voir Résolution d'un certificat du serveur non sécurisé. Si XCC2 utilise un certificat TLS personnalisé, XCC2 autorise la rétrogradation et vous avertir que vous devez importer un certificat de serveur basé sur la cryptographie du mode Sécurité standard.

  • Le mode NIST SP 800-131A n'est pas pris en charge pour les serveurs équipés de XCC2.
  • Vous ne pouvez pas faire appel à l’authentification gérée afin de gérer un serveur ThinkSystem ou ThinkAgile lorsque le mode de sécurité de XCC est défini sur TLS v1.3.
  • Pour un serveur ThinkSystem ou ThinkAgile qui est géré par le biais de l’authentification gérée, définir le mode de sécurité de XCC sur TLS v1.3 à l’aide de soit XClarity Administrator ou XCC entraîne la mise hors ligne du serveur.
Vous pouvez modifier les paramètres de sécurité pour les appareils suivants.
  • Serveurs Lenovo ThinkSystem avec processeurs Intel ou AMD (à l’exception de SR635 / SR655)
  • Serveurs Lenovo ThinkSystem V2
  • Serveurs Lenovo ThinkSystem V3 avec processeurs Intel ou AMD
  • Serveurs Lenovo ThinkEdge SE350 / SE450
  • Serveurs Lenovo System x

Procédure

Pour modifier les paramètres de sécurité pour certains serveurs gérés, procédez comme suit.

  1. Dans le menu XClarity Administrator, cliquez sur Matériel > Serveurs. La page Serveurs qui s'affiche présente une vue tabulaire de tous les serveurs gérés.
  2. Sélectionnez un ou plusieurs serveurs.
  3. Configurez le mode de sécurité.
    1. Cliquez sur Toutes les actions > Sécurité > Définir le mode de sécurité système pour afficher la boîte de dialogue Définir le mode de sécurité système.

      La boîte de dialogue répertorie le nombre de serveurs qui peuvent être définis sur chaque mode. Passez le curseur au-dessus de chaque numéro pour afficher une fenêtre contextuelle qui présente la liste des noms de serveur applicables.

    2. Sélectionnez le mode de sécurité. Les valeurs possibles sont les suivantes.

      • Mode de sécurité compatibilité. Sélectionnez ce mode lorsque les services et les clients nécessitent une cryptographie non compatible CNSA/FIPS. Ce mode prend en charge un grand nombre d’algorithmes de cryptographie et permet d’activer tous les services.

      • NIST SP 800-131A. Sélectionnez ce mode pour garantir la conformité avec la norme NIST SP 800-131A. Cela comprend la restriction des clés RSA à 2 048 octets ou plus, la restriction des hachages utilisés pour les signatures numériques à SHA-256 ou plus et l'assurance que seul les algorithme de chiffrement symétrique conformes à la norme NIST sont utilisés. Ce mode requiert de définir le mode SSL/TLS sur Serveur et client TLS 1.2.

        Ce mode n'est pas pris en charge pour les serveurs XCC2.

      • Sécurité standard. (Serveurs avec XCC2 uniquement) Il s’agit du mode de sécurité par défaut pour les serveurs avec XCC2. Sélectionnez ce mode pour garantir la conformité avec la norme FIPS 140-3. Pour que XCC fonctionne en mode validé FIPS 140-3, seuls les services qui prennent en charge la cryptographie de niveau FIPS 140-3 peuvent être activés. Les services qui ne prennent pas en charge la cryptographie de niveau FIPS 140-2/140-3 sont désactivés par défaut mais peuvent être activés si nécessaire. Si un service utilisant une cryptographie de niveau autre que FIPS 140-3 est activé, le XCC ne peut pas fonctionner en mode validé FIPS 140-3. Ce mode requiert des certificats de niveau FIP.

      • Sécurité Entreprise Strict. (serveurs avec XCC2 uniquement) Il s’agit du mode le plus sécurisé. Sélectionnez ce mode pour garantir la conformité avec la norme CNSA. Seuls les services qui prennent en charge la cryptographie de niveau CNSA sont autorisés. Les services non sécurisés sont désactivés par défaut et ne peuvent pas être activés. Ce mode requiert des certificats de niveau CNSA.

        XClarity Administrator utilise des signatures de certificat RSA-3072/SHA-384 pour les serveurs en mode Sécurité Entreprise Strict.

        Important
        • La clé XCC2 Feature On Demand doit être installée sur chaque serveurs avec XCC2 sélectionné pour utiliser ce mode.

        • Dans ce mode, si XClarity Administrator utilise un certificat autosigné, XClarity Administrator doit utiliser le certificat racine et le certificat de serveur basés sur la norme RSA3072/SHA384. Si XClarity Administrator utilise un certificat à signature externe, XClarity Administrator doit générer une demande CSR basée sur RSA3072/SHA384 et contacter l’autorité de certification externe pour signer un nouveau certificat de serveur basé sur RSA3072/SHA384.

        • Lorsque XClarity Administrator utilise un certificat basé sur RSA3072/SHA384, XClarity Administrator est susceptible de déconnecter des appareils autres que les serveurs et le châssis Flex System (CMMS), les serveurs ThinkSystem, les serveurs ThinkServer, les serveurs System x M4 et M5, les commutateurs Lenovo ThinkSystem série DB, les commutateurs Lenovo RackSwitch, les commutateurs Flex System, les commutateurs Mellanox, les dispositifs de stockage ThinkSystem DE/DM, le stockage de la bandothèque IBM et les serveurs ThinkSystem SR635/SR655 sur lesquels est copié un microprogramme antérieur à 22C. Pour continuer à gérer les appareils déconnectés, configurez une nouvelle instance de XClarity Administrator avec un certificat basé sur RSA2048/SHA384.

    3. Cliquez sur Appliquer.

  4. Configurez la version TLS minimale.
    1. Cliquez sur Toutes les actions > Sécurité > Définir la version TLS du système pour afficher la boîte de dialogue Définir la version TLS du système.

    2. Sélectionnez la version du protocole TLS minimale à utiliser pour les connexions client à d'autres serveurs (telles que les connexions du client LDAP à un serveur LDAP). La valeur est configurée sur les appareils sélectionnés qui prennent en charge ce paramètre. Vous pouvez choisir l'option suivante.

      • TLS1.2. Applique les protocoles cryptographique TLS v1.2.
      • TLS1.3. Applique les protocoles cryptographique TLS v1.3.
      Remarque
      Les appareils System x et CMM ne prennent en charge que la version TLS v1.2.
    3. Cliquez sur Appliquer.