暗号管理
暗号化管理は、Lenovo XClarity Administrator と管理対象デバイス (シャーシ、サーバー、Flex スイッチなど) の間のセキュアな通信の処理方法を制御する通信モードとプロトコルで構成されています。
暗号化アルゴリズム
XClarity Administratorでは、セキュアなネットワーク接続用に TLS 1.2 およびより強力な暗号アルゴリズムをサポートしています。
SSH-ED25519
SSH-ED25519-CERT-V01@OPENSSH.COM
ECDSA-SHA2-NISTP256
ECDSA-SHA2-NISTP256-CERT-V01@OPENSSH.COM
ECDSA-SHA2-NISTP384
ECDSA-SHA2-NISTP384-CERT-V01@OPENSSH.COM
ECDSA-SHA2-NISTP521
ECDSA-SHA2-NISTP521-CERT-V01@OPENSSH.COM
RSA-SHA2-512
RSA-SHA2-256
RSA-SHA2-384
管理サーバーの暗号モード
- 「互換性」。デフォルトのモードです。このモードは、NIST SP 800-131A への準拠のために必要とされる厳格なセキュリティー規格を満たしていない旧バージョンのファームウェア、ブラウザー、およびその他のネットワーク・クライアントと互換性があります。
NIST SP 800-131A。このモードは、NIST SP 800-131A 規格への準拠を目的としています。XClarity Administrator は、必ず強力な暗号化を内部的に使用するように、また、可能な場合は、強力な暗号化ネットワーク接続を使用するように設計されています。ただし、このモードでは、NIST SP 800-131A で承認されていない暗号化を使用したネットワーク接続は許可されていません。これには、SHA-1 または弱いハッシュで署名されたトランスポート層セキュリティー (TLS) 証明書の拒否が含まれます。
このモードを選択した場合:ポート 8443 以外のすべてのポートでは、すべての TLS CBC 暗号および PFS (Perfect Forward Secrecy) をサポートしないすべての暗号が無効になります。
一部のモバイル・デバイス・サブスクリプションでは、イベント通知が正常にプッシュされない可能性があります (モバイル・デバイスへのイベントの転送を参照)。Android や iOS などの外部デバイスは、SHA-1 (NIST SP 800-131A モードのより厳しい要件に従わないアルゴリズム) で署名された証明書を提示します。その結果、これらのサービスに対して行われる接続が、証明書例外またはハンドシェーク・エラーで失敗する可能性があります。
管理サーバーのセキュリティ設定について詳しくは、XClarity Administrator オンライン・ドキュメントの「管理サーバーでの暗号化設定の構成」を参照してください。
管理対象サーバーのセキュリティー・モード
互換性セキュリティー。サービスおよびクライアントで CNSA/FIPS 準拠ではない暗号化が必要な場合に、このモードを選択します。このモードでは、広範な暗号化アルゴリズムがサポートされており、すべてのサービスを有効にできます。
「NIST SP 800-131A」。NIST SP 800-131A 基準に確実に準拠するには、このモードを選択してください。これには、RSA 鍵が 2048 ビット以上であること、デジタル署名に用いるハッシュ値は SHA-256 で得られる値以上の長さであること、NIST が承認している対称暗号アルゴリズムのみを使用することなどの制限が課されます。このモードは、SSL/TLS モードを「TLS 1.2 サーバーおよびクライアント」に設定する必要があります。
このモードは、ThinkSystem V1 および V2 サーバーでサポートされています。
標準セキュリティー。これは、ThinkSystem V3 および V4 サーバーのデフォルトのセキュリティー・モードです。FIPS 140-3 基準に確実に準拠するには、このモードを選択してください。XCC を FIPS 140-3 検証モードで動作させるには、FIPS 140-3 レベルの暗号化をサポートするサービスのみが有効にできます。FIPS 140-2/140-3 レベル暗号化をサポートしないサービスは、デフォルトでは無効になっていますが、必要な場合は有効にできます。FIPS 140-3 レベル以外の暗号化を使用するサービスが有効になっている場合、XCC は FIPS 140-3 検証モードでは動作できません。このモードでは、FIP レベルの証明書が必要です。
エンタープライズ・ストリクト・セキュリティー。これは、ThinkSystem V3 および V4 サーバーにとって最もセキュアなモードです。CNSA 基準に確実に準拠するには、このモードを選択してください。CNSA レベルの暗号化をサポートするサービスのみ使用できます。非セキュア・サービスは、デフォルトでは無効になっており、有効にすることはできません。このモードでは、CNSA レベルの証明書が必要です。
XClarity Administrator は「エンタープライズ・ストリクト・セキュリティー」モードのサーバーに RSA 3072-bit / SHA-384 証明書の署名を使用します。
重要このモードを使用するには、選択したそれぞれの ThinkSystem V3 および V4 サーバー (XCC2 または XCC3 を使用) に XCC Feature On Demand キーがインストールされていなればなりません。
このモードで XClarity Administrator が自己署名証明書を使用する場合は、XClarity Administrator は RSA 3072-bit / SHA-384 ベースのルート証明書とサーバー証明書を使用する必要があります。XClarity Administrator が外部署名済み証明書を使用する場合は、XClarity Administrator は RSA 3072-bit / SHA-384 ベースの CSR を生成し、外部 CA に問い合わせ、RSA 3072-bit / SHA-384 に基づく新しいサーバー証明書に署名する必要があります。
XClarity Administrator が RSA 3072-bit / SHA-384 ベースの証明書を使用する場合、XClarity Administrator は Flex System シャーシ (CMMS) サーバーおよびサーバー、ThinkSystem サーバー、ThinkServer サーバー、System x M4 および M5 サーバー、Lenovo ThinkSystem DB シリーズ・スイッチ、Lenovo RackSwitch、Flex System スイッチ、Mellanox スイッチ、ThinkSystem DE/DM ストレージ・デバイス、IBM テープ・ライブラリー・ストレージ、および 22C 以前のファームウェアがフラッシュされた ThinkSystem SR635/SR655 サーバー以外のデバイスを切断する可能性があります。切断されたデバイスの管理を続行するには、2048-bit / SHA-256 ベースの証明書を使用して別の XClarity Administrator インスタンスをセットアップしてください。
高いセキュリティー。これは、ThinkSystem V1 および V2 サーバーにとって最もセキュアなモードです。NIST および PFS (Perfect Forward Secrecy) 標準に確実に準拠するには、このモードを選択します。
このモードは、ThinkSystem V1 および V2 サーバーでのみサポートされます。2023 年第 2 四半期以降にリリースされた XCC ファームウェア・バージョンが必要です。
XClarity Administrator v4.2 以前の場合:
- XCC の TLS バージョンが v1.3 に設定されている場合に、ThinkSystem または ThinkAgile サーバーの管理に管理認証を使用するには、XClarity Administrator の最小サーバーの TLS バージョン も TLS v1.3 に設定する必要があります (管理サーバーでの暗号化設定の構成)。
- XClarity Administrator v4.0 以前の場合:
- XCC のセキュリティー・モードが TLS v1.3 に設定されている場合は、管理対象認証を使用して ThinkSystem または ThinkAgile サーバーを管理することはできません。
- 管理対象認証を使用して管理されている ThinkSystem または ThinkAgile サーバーの場合、XClarity Administrator または XCC のいずれかを使用して XCC のセキュリティー・モードを TLS v1.3 に変更すると、サーバーがオフラインになります。
「互換性セキュリティー」モードまたは「標準セキュリティー」モードから「エンタープライズ・ストリクト・セキュリティー」モードへの変更はサポートされていません。
「互換性セキュリティー」モードから「標準セキュリティー」モードにアップグレードする場合、インポートされた証明書または SSH 公開鍵が適合しない場合に警告が表示されますが、「標準セキュリティー」モードにアップグレードすることはできます。
「エンタープライズ・ストリクト・セキュリティー」モードから「互換性セキュリティー」モードまたは「標準セキュリティー」モードにダウングレードする場合:
セキュリティー・モードを有効にするために、サーバーが自動的に再起動されます。
ThinkSystem V3 および V4 サーバーの場合: Strict モードの FoD キーが XCC で欠落しているか有効期限が切れている場合、および XCC が自己署名 TLS 証明書を使用する場合、XCC は Standard Strict に準拠するアルゴリズムに基づいて自己署名 TLS 証明書を再生成します。 XClarity Administratorは、証明書エラーによる接続障害を表示します。信頼できない証明書のエラーを解決するには、XClarity Administrator オンライン・ドキュメントの「非トラステッド・サーバー証明書の解決」を参照してください。XCC がカスタム TLS 証明書を使用する場合、XCC はダウングレードを許可し、「標準セキュリティー」モードの暗号化に基づいてサーバー証明書をインポートする必要があるという警告が表示されます。
- インテルまたは AMD プロセッサーを搭載した Lenovo ThinkSystem サーバー (SR635 / SR655 を除く)
- Lenovo ThinkSystem V2 サーバー
- インテルまたは AMD プロセッサーを搭載した Lenovo ThinkSystem V3 サーバー
- Lenovo ThinkSystem V4 サーバー
- Lenovo ThinkEdge SE350 および SE450 サーバー
- Lenovo System x サーバー
管理サーバーのセキュリティー設定について詳しくは、XClarity Administrator オンライン・ドキュメントの「管理対象サーバーのセキュリティー設定の構成」を参照してください。