メインコンテンツまでスキップ

管理サーバーでの暗号化設定の構成

管理サーバーの SSL/TLS バージョンと暗号設定を構成できます。

始める前に

管理サーバーの設定修正前に暗号化の懸念事項を見直してください (XClarity Administratorオンライン・ドキュメントの「暗号管理を参照)。

このタスクについて

暗号モードでは、XClarity Administrator とすべての管理対象システムとの間でセキュアな通信をどのように処理するかが決定されます。セキュアな通信が実装されている場合、使用する暗号鍵の長さが設定されます。

選択した暗号モードに関係なく、NIST 認定のデジタル乱数生成器 (Digital Random Bit Generator) が常に使用され、128 ビット以上の鍵のみが対称暗号化に使用されます。

管理対象デバイスのセキュリティー設定を変更するには、管理対象サーバーのセキュリティー設定の構成 を参照してください。

手順

管理サーバーの暗号化設定を変更するには、以下の手順を実行します。

  1. XClarity Administrator メニュー・バーで、管理 > 「セキュリティー」をクリックします。
  2. セキュアな通信に使用する暗号モードとして以下のいずれかを選択します。
    • 互換性」。デフォルトのモードです。このモードは、NIST SP 800-131A への準拠のために必要とされる厳格なセキュリティー規格を満たしていない旧バージョンのファームウェア、ブラウザー、およびその他のネットワーク・クライアントと互換性があります。

    • NIST SP 800-131A。このモードは、NIST SP 800-131A 規格への準拠を目的としています。XClarity Administrator は、必ず強力な暗号化を内部的に使用するように、また、可能な場合は、強力な暗号化ネットワーク接続を使用するように設計されています。ただし、このモードでは、NIST SP 800-131A で承認されていない暗号化を使用したネットワーク接続は許可されていません。これには、SHA-1 または弱いハッシュで署名されたトランスポート層セキュリティー (TLS) 証明書の拒否が含まれます。

      このモードを選択した場合:

      • ポート 8443 以外のすべてのポートでは、すべての TLS CBC 暗号および PFS (Perfect Forward Secrecy) をサポートしないすべての暗号が無効になります。

      • 一部のモバイル・デバイス・サブスクリプションでは、イベント通知が正常にプッシュされない可能性があります (モバイル・デバイスへのイベントの転送を参照)。Android や iOS などの外部デバイスは、SHA-1 (NIST SP 800-131A モードのより厳しい要件に従わないアルゴリズム) で署名された証明書を提示します。その結果、これらのサービスに対して行われる接続が、証明書例外またはハンドシェーク・エラーで失敗する可能性があります。

      NIST SP 800-131A への準拠について詳しくは、NIST SP 800-131A コンプライアンスの実装を参照してください。
  3. クライアントを他のサーバー (LDAP サーバーなど) に接続するために使用する TLS プロトコルの最小バージョンを選択します。以下のオプションを選択できます。
    • TLS1.2。TLS v1.2 暗号化プロトコルを強制適用します。
    • TLS1.3。TLS v1.3 暗号化プロトコルを強制適用します。
  4. サーバー接続 (Web サーバーなど) に使用する TLS プロトコルの最小バージョンを選択します。以下のオプションを選択できます。
    • TLS1.2。TLS v1.2 暗号化プロトコルを強制適用します。
    • TLS1.3。TLS v1.3 暗号化プロトコルを強制適用します。
  5. XClarity Administrator オペレーティング・システムのデプロイメントおよび OS デバイス・ドライバーの更新に使用される TLS プロトコルの最小バージョンを選択します。以下のオプションを選択できます。
    • TLS1.2。TLS v1.2 暗号化プロトコルを強制適用します。
    • TLS1.3。TLS v1.3 暗号化プロトコルを強制適用します。
    XClarity Administrator でデプロイおよび更新できるのは、選択済みの、または強い暗号化アルゴリズムをサポートしているオペレーティング・システムのみです。
  6. 証明書のすべての部分 (ルート CA 証明書、サーバー証明書、外部署名済み証明書の CSR など) に使用する暗号鍵の長さとハッシュ・アルゴリズムを選択します。

    • RSA 2048 ビット / SHA-256 (デフォルト)

      このモードは、管理対象デバイスが「互換性」、「NIST SP 800-131A」、または「標準セキュリティ」モードの場合に使用できます。1 つ以上の管理対象デバイスが「エンタープライズ・ストリクト・セキュリティー」モードになっている場合、このモードを使用することはできません

    • RSA 3072 ビット/SHA-384

      このモードは、「エンタープライズ・ストリクト・セキュリティー」モードの管理対象デバイスの場合に必要です。

      重要
      RSA-3072/SHA-384 証明書署名は、XCC2 を持つサーバーでのみサポートされています。RSA-3072/SHA-384 ベースの証明書を使用して XClarity Administrator を構成すると、非 XCC2 デバイスは管理を解除されます。非 XCC2 デバイスを管理するには、別の XClarity Administrator インスタンスが必要です。
  7. 適用」をクリックします。
  8. XClarity Administrator を再起動します (XClarity Administratorの再起動を参照)。
  9. 暗号鍵の長さを変更した場合は、正しい鍵の長さとハッシュ・アルゴリズムを使用して証明機関ルート証明書を再生成します (「Lenovo XClarity Administrator の自己署名サーバー証明書の再生成または復元」または「カスタマイズされたサーバー証明書の Lenovo XClarity Administrator へのデプロイ」を参照)。

終了後

管理対象デバイスでサーバー証明書が非トラステッドであるとアラートを受信した場合は、非トラステッド・サーバー証明書の解決を参照してください。