Passa al contenuto principale

Configurazione delle impostazioni di crittografia sul server di gestione

È possibile configurare la versione SSL/TLS e le impostazioni di crittografia per il server di gestione.

Prima di iniziare

Prima di modificare le impostazioni nel server di gestione, verificare le considerazioni sulla crittografia (vedere Gestione della crittografia).

Informazioni su questa attività

La modalità crittografica determina la modalità di gestione delle comunicazioni sicure tra XClarity Administrator e tutti i sistemi gestiti. Se vengono implementate comunicazioni sicure, imposta le lunghezze delle chiavi di crittografia da utilizzare.

Nota
Indipendentemente dalla modalità crittografica selezionata, i generatori di bit casuali digitali approvati NIST vengono utilizzati sempre e per la crittografia simmetrica vengono usate solo chiavi a 128 bit o più lunghe.

Per modificare l'impostazione di sicurezza per i dispositivi gestiti, vedere Configurazione delle impostazioni di sicurezza per un server gestito.

Procedura

Per modificare le impostazioni di crittografia, completare le seguenti operazioni sul server di gestione.

  1. Dalla barra dei menu di XClarity Administrator, fare clic su Amministrazione > Sicurezza.
  2. Scegliere una delle seguenti modalità crittografiche da utilizzare per le comunicazioni sicure:
    • Compatibilità. Questo è la modalità predefinita. È compatibile con le versioni firmware precedenti, i browser e gli altri client di rete che non implementano i rigorosi standard di sicurezza richiesti per la conformità NIST SP 800-131A.
    • NIST SP 800-131A. Questa modalità è progettata per rispettare lo standard di conformità NIST SP 800-131A. XClarity Administrator è progettato per utilizzare sempre la crittografia interna e le connessioni di rete con crittografia sicura, dove disponibile. Tuttavia, in questa modalità, le connessioni di rete che utilizzano la crittografia non approvata da NIST SP 800-131A non sono autorizzate; ad esempio, i certificati TLS (Transport Layer Security) con firma SHA-1 o hash più debole verranno respinti.

      Se si seleziona questa modalità:
      • Per tutte le porte diverse dalla porta 8443, tutte le cifrature CBC TLS e quelle che non supportano Perfect Forward Secrecy sono disabilitate.

      • Le notifiche eventi potrebbero non essere inviate correttamente ad alcune sottoscrizioni di dispositivi mobili (vedere Inoltro di eventi a dispositivi mobili ). Servizi esterni, come Android e iOS, presentano certificati firmati con SHA-1. Questo algoritmo non è conforme ai requisiti più rigorosi della modalità NIST SP 800-131A. Pertanto, tutte le connessioni a questi servizi potrebbero non riuscire con un'eccezione del certificato o un errore di handshake.

      Per ulteriori informazioni sulla NIST SP 800-131A conformità, vedere Implementazione della conformità NIST SP 800-131A.
  3. Scegliere la versione minima del protocollo TLS da utilizzare per le connessioni client ad altri server (ad esempio il server LDAP). È possibile scegliere la seguente opzione
    • TLS1.2. Applica i protocolli di crittografia TLS v1.2.
    • TLS1.3. Applica i protocolli di crittografia TLS v1.3.
  4. Scegliere la versione minima del protocollo TLS da utilizzare per le connessioni server (ad esempio il server Web). È possibile scegliere la seguente opzione.
    • TLS1.2. Applica i protocolli di crittografia TLS v1.2.
    • TLS1.3. Applica i protocolli di crittografia TLS v1.3.
  5. Scegliere la versione minima del protocollo TLS da utilizzare per la distribuzione del sistema operativo XClarity Administrator e gli aggiornamenti dei driver di dispositivo del sistema operativo. È possibile scegliere la seguente opzione.
    • TLS1.2. Applica i protocolli di crittografia TLS v1.2.
    • TLS1.3. Applica i protocolli di crittografia TLS v1.3.
    Nota
    Solo i sistemi operativi con un processo di installazione che supporta l'algoritmo di crittografia selezionato o sicuro possono essere distribuiti e aggiornati tramite XClarity Administrator.
  6. Selezionare la lunghezza della chiave crittografica e l'algoritmo hash da utilizzare per tutte le parti del certificato, inclusi il certificato CA radice, il certificato server e la CSR per i certificati con firma esterna.
    • RSA 2048-bit/SHA-256 (predefinito)

      Questa modalità può essere utilizzata quando i dispositivi gestiti sono in modalità di compatibilità, NIST SP 800-131A o sicurezza standard. Questa modalità non può essere utilizzata quando uno o più dispositivi gestiti sono in modalità Sicurezza aziendale rigorosa.

    • RSA 3072-bit/SHA-384

      Questa modalità è richiesta quando i dispositivi gestiti sono in modalità Sicurezza aziendale rigorosa.

      Importante
      Solo i server con XCC2 supportano le firme del certificato RSA-3072/SHA-384. Una volta configurato XClarity Administrator con un certificato basato su RSA-3072/SHA-384, la gestione dei dispositivi non XCC2 viene annullata. Per gestire i dispositivi non XCC2, è necessaria un'istanza XClarity Administrator separata.
  7. Fare clic su Applica.
  8. Riavviare XClarity Administrator (vedere Riavvio di XClarity Administrator).
  9. Se è stata modificata la lunghezza della chiave crittografica, rigenerare il certificato radice dell'autorità di certificazione utilizzando la lunghezza della chiave e l'algoritmo hash corretti (vedere Rigenerazione o ripristino del certificato autofirmato del server di Lenovo XClarity Administrator o Distribuzione di certificati server personalizzati in Lenovo XClarity Administrator).

Al termine

Se si riceve un avviso per cui il certificato server non è attendibile per un dispositivo gestito, vedere Risoluzione di un certificato server non attendibile.