È possibile configurare la versione SSL/TLS e le impostazioni di crittografia per i server gestiti.
Informazioni su questa attività
Considerare le seguenti implicazioni che comporta la modifica della modalità crittografica.
La modifica dalla modalità Sicurezza della compatibilità o Sicurezza standard a Sicurezza aziendale rigorosa non è supportata.
Se si esegue l'aggiornamento dalla modalità Sicurezza della compatibilità alla modalità Sicurezza standard, se i certificati importati o le chiavi pubbliche SSH non sono conformi, verrà visualizzato un avviso ma sarà comunque possibile aggiornare alla modalità Sicurezza standard.
Se si esegue il downgrade dalla modalità Sicurezza aziendale rigorosa alla modalità Sicurezza della compatibilità o Sicurezza standard:
Il server viene automaticamente riavviato affinché la modalità di sicurezza sia resa effettiva.
Se la chiave FoD in modalità rigorosa manca o è scaduta su XCC2 e XCC2 utilizza un certificato TLS autofirmato, XCC2 rigenera il certificato TLS autofirmato basato sull'algoritmo conforme alla modalità Rigorosa standard. XClarity Administrator mostra un errore di connessione a causa di un errore del certificato. Per risolvere l'errore di certificato non attendibile, vedere Risoluzione di un certificato server non attendibile. Se XCC2 utilizza un certificato TLS personalizzato, XCC2 consente il downgrade e avverte l'utente della necessità di importare un certificato server basato sulla crittografia della modalità Sicurezza standard.
La modalità NIST SP 800-131A non è supportata per i server con XCC2.
Se la modalità crittografica di XClarity Administrator è impostata su TLS v1.2 e su un server gestito che utilizza l'autenticazione gestita è impostata una modalità di sicurezza su TLS v1.2, modificando la modalità di sicurezza del server su TLS v1.3 mediante XClarity Administrator o XCC, il server risulterà definitivamente offline.
Se la modalità crittografica di XClarity Administrator è impostata su TLS v1.2 e si tenta di gestire un server con XCC e la modalità di sicurezza impostata su TLS v1.3, non è possibile gestire il server mediante l'autenticazione gestita.
È possibile modificare i valori delle impostazioni di sicurezza per i seguenti dispositivi.
Server Lenovo ThinkSystem con processori Intel o AMD (ad eccezione di SR635/SR655)
Server Lenovo ThinkSystem V2
Server Lenovo ThinkSystem V3 con processori Intel o AMD
Server Lenovo ThinkEdge SE350/SE450
Server Lenovo System x
Procedura
Per modificare le impostazioni di sicurezza per server gestiti specifici, completare le seguenti operazioni.
- Dal menu XClarity Administrator, fare clic su . Verrà visualizzata la pagina Server contenente una vista tabulare di tutti i server gestiti.
- Selezionare uno o più server.
- Configurare la modalità di sicurezza.
Fare clic su per visualizzare la finestra di dialogo Imposta modalità di sicurezza del sistema.
Nella finestra di dialogo viene riportato il numero di server che è possibile configurare per ciascuna modalità. Passare il cursore su ogni numero per visualizzare un elenco di nomi di server applicabili.
Selezionare la modalità di sicurezza. É possibile selezionare uno dei seguenti valori.
Sicurezza della compatibilità. Selezionare questa modalità quando i servizi e i client richiedono crittografia non conforme a CNSA/FIPS. Questa modalità supporta un'ampia gamma di algoritmi di crittografia e consente l'abilitazione di tutti i servizi.
NIST SP 800-131A. Selezionare questa modalità per garantire la compatibilità con lo standard NIST SP 800-131A. Ciò include la restrizione delle chiavi RSA a 2048 bit o superiori, la restrizione degli hash utilizzati per le firme digitali a SHA-256 o più e la garanzia che vengano utilizzati solo gli algoritmi di crittografia simmetrica approvati NIST. Questa modalità richiede l'impostazione della modalità SSL/TLS sul client del server TLS 1.2.
Questa modalità non è supportata per i server con XCC2.
Sicurezza standard. Questa è la modalità di sicurezza predefinita per server con XCC2 (solo server con XCC2). Selezionare questa modalità per garantire la compatibilità con lo standard FIPS 140-3. Per il funzionamento di XCC in modalità convalidata FIPS 140-3, è possibile abilitare solo i servizi che supportano la crittografia di livello FIPS 140-3. I servizi che non supportano la crittografia di livello FIPS 140-2/140-3 sono disabilitati per impostazione predefinita, ma possono essere abilitati, se necessario. Se è abilitato un servizio che utilizza la crittografia non di livello FIPS 140-3, XCC non può funzionare in modalità convalidata FIPS 140-3. Questa modalità richiede certificati di livello FIP.
Sicurezza aziendale rigorosa. Questa è la modalità più sicura (solo server con XCC2). Selezionare questa modalità per garantire la compatibilità con lo standard CNSA. Sono consentiti solo i servizi che supportano la crittografia di livello CNSA. I servizi non sicuri sono disabilitati per impostazione predefinita e non possono essere abilitati. Questa modalità richiede certificati di livello CNSA.
XClarity Administrator utilizza le firme del certificato RSA-3072/SHA-384 per i server in modalità Sicurezza aziendale rigorosa.
Per utilizzare questa modalità, è necessario installare la chiave Feature On Demand di XCC2 per ogni elemento server con XCC2 selezionato.
In questa modalità, se XClarity Administrator utilizza un certificato autofirmato, XClarity Administrator deve utilizzare il certificato radice e il certificato server basati su RSA3072/SHA384. Se XClarity Administrator utilizza un certificato firmato esterno, XClarity Administrator deve generare una CSR basata su RSA3072/SHA384 e contattare la CA esterna per firmare un nuovo certificato server basato su RSA3072/SHA384.
Quando XClarity Administrator utilizza un certificato basato su RSA3072/SHA384, XClarity Administrator potrebbe scollegare i dispositivi diversi da: chassis e server Flex System (CMM), server ThinkSystem, server ThinkServer, server System x M4 e M5, switch Lenovo ThinkSystem serie DB, Lenovo RackSwitch, switch Flex System, switch Mellanox, dispositivi di storage ThinkSystem DE/DM, storage della libreria a nastro IBM e server ThinkSystem SR635/SR655 con firmware precedente alla versione 22C. Per continuare a gestire i dispositivi disconnessi, configurare un'altra istanza di XClarity Administrator con un certificato basato su RSA2048/SHA384.
Fare clic su Applica.
- Configurare la versione minima del TLS.
Fare clic su per visualizzare la finestra di dialogo Imposta versione TLS del sistema.
Selezionare la versione minima del protocollo TLS da utilizzare per le connessioni client ad altri server (ad esempio dal client LDAP a un server LDAP). Il valore viene configurato sui dispositivi selezionati che supportano questa impostazione. È possibile scegliere la seguente opzione.
- TLS1.2. Applica i protocolli di crittografia TLS v1.2.
- TLS1.3. Applica i protocolli di crittografia TLS v1.3.
I dispositivi System x e CMM supportano solo TLS v1.2.
Fare clic su Applica.