暗号管理
暗号化管理は、Lenovo XClarity Administrator と管理対象デバイス (シャーシ、サーバー、Flex スイッチなど) の間のセキュアな通信の処理方法を制御する通信モードとプロトコルで構成されています。
暗号化アルゴリズム
XClarity Administratorでは、セキュアなネットワーク接続用に TLS 1.2 およびより強力な暗号アルゴリズムをサポートしています。
SSH-ED25519
SSH-ED25519-CERT-V01@OPENSSH.COM
ECDSA-SHA2-NISTP256
ECDSA-SHA2-NISTP256-CERT-V01@OPENSSH.COM
ECDSA-SHA2-NISTP384
ECDSA-SHA2-NISTP384-CERT-V01@OPENSSH.COM
ECDSA-SHA2-NISTP521
ECDSA-SHA2-NISTP521-CERT-V01@OPENSSH.COM
RSA-SHA2-512
RSA-SHA2-256
RSA-SHA2-384
管理サーバーの暗号モード
- 「互換性」。デフォルトのモードです。このモードは、NIST SP 800-131A への準拠のために必要とされる厳格なセキュリティー規格を満たしていない旧バージョンのファームウェア、ブラウザー、およびその他のネットワーク・クライアントと互換性があります。
NIST SP 800-131A。このモードは、NIST SP 800-131A 規格への準拠を目的としています。XClarity Administrator は、必ず強力な暗号化を内部的に使用するように、また、可能な場合は、強力な暗号化ネットワーク接続を使用するように設計されています。ただし、このモードでは、NIST SP 800-131A で承認されていない暗号化を使用したネットワーク接続は許可されていません。これには、SHA-1 または弱いハッシュで署名されたトランスポート層セキュリティー (TLS) 証明書の拒否が含まれます。
このモードを選択した場合:ポート 8443 以外のすべてのポートでは、すべての TLS CBC 暗号および PFS (Perfect Forward Secrecy) をサポートしないすべての暗号が無効になります。
一部のモバイル・デバイス・サブスクリプションでは、イベント通知が正常にプッシュされない可能性があります (モバイル・デバイスへのイベントの転送を参照)。Android や iOS などの外部デバイスは、SHA-1 (NIST SP 800-131A モードのより厳しい要件に従わないアルゴリズム) で署名された証明書を提示します。その結果、これらのサービスに対して行われる接続が、証明書例外またはハンドシェーク・エラーで失敗する可能性があります。
管理サーバーのセキュリティ設定について詳しくは、XClarity Administrator オンライン・ドキュメントの「管理サーバーでの暗号化設定の構成」を参照してください。
管理対象サーバーのセキュリティー・モード
互換性セキュリティー。サービスおよびクライアントで CNSA/FIPS 準拠ではない暗号化が必要な場合に、このモードを選択します。このモードでは、広範な暗号化アルゴリズムがサポートされており、すべてのサービスを有効にできます。
「NIST SP 800-131A」。NIST SP 800-131A 基準に確実に準拠するには、このモードを選択してください。これには、RSA 鍵が 2048 ビット以上であること、デジタル署名に用いるハッシュ値は SHA-256 で得られる値以上の長さであること、NIST が承認している対称暗号アルゴリズムのみを使用することなどの制限が課されます。このモードは、SSL/TLS モードを「TLS 1.2 サーバーおよびクライアント」に設定する必要があります。
このモードは、XCC2 を持つサーバーではサポートされていません。
標準セキュリティー。(XCC2 を持つサーバーのみ) これは、XCC2 を含むサーバー のデフォルトのセキュリティー・モードです。FIPS 140-3 基準に確実に準拠するには、このモードを選択してください。XCC を FIPS 140-3 検証モードで動作させるには、FIPS 140-3 レベルの暗号化をサポートするサービスのみが有効にできます。FIPS 140-2/140-3 レベル暗号化をサポートしないサービスは、デフォルトでは無効になっていますが、必要な場合は有効にできます。FIPS 140-3 レベル以外の暗号化を使用するサービスが有効になっている場合、XCC は FIPS 140-3 検証モードでは動作できません。このモードでは、FIP レベルの証明書が必要です。
エンタープライズ・ストリクト・セキュリティー。(XCC2 を含むサーバー のみ) これは、最もセキュアなモードです。CNSA 基準に確実に準拠するには、このモードを選択してください。CNSA レベルの暗号化をサポートするサービスのみ使用できます。非セキュア・サービスは、デフォルトでは無効になっており、有効にすることはできません。このモードでは、CNSA レベルの証明書が必要です。
XClarity Administrator は「エンタープライズ・ストリクト・セキュリティー」モードのサーバーに RSA-3072/SHA-384 証明書の署名を使用します。
重要このモードを使用するには、選択したそれぞれの XCC2 を含むサーバー に XCC2 Feature On Demand キーがインストールされていなればなりません。
このモードで XClarity Administrator が自己署名証明書を使用する場合は、XClarity Administrator は RSA3072/SHA384 ベースのルート証明書とサーバー証明書を使用する必要があります。XClarity Administrator が外部署名済み証明書を使用する場合は、XClarity Administrator は RSA3072/SHA384 ベースの CSR を生成し、外部 CA に問い合わせ、RSA3072/SHA384 に基づく新しいサーバー証明書に署名する必要があります。
XClarity Administrator が RSA3072/SHA384 ベースの証明書を使用する場合、XClarity Administrator は Flex System シャーシ (CMMS) サーバーおよびサーバー、ThinkSystem サーバー、ThinkServer サーバー、System x M4 および M5 サーバー、Lenovo ThinkSystem DB シリーズ・スイッチ、Lenovo RackSwitch、Flex System スイッチ、Mellanox スイッチ、ThinkSystem DE/DM ストレージ・デバイス、IBM テープ・ライブラリー・ストレージ、および 22C 以前のファームウェアがフラッシュされた ThinkSystem SR635/SR655 サーバー以外のデバイスを切断する可能性があります。切断されたデバイスの管理を続行するには、RSA2048/SHA384 ベースの証明書を使用して別の XClarity Administrator インスタンスをセットアップしてください。
「互換性セキュリティー」モードまたは「標準セキュリティー」モードから「エンタープライズ・ストリクト・セキュリティー」モードへの変更はサポートされていません。
「互換性セキュリティー」モードから「標準セキュリティー」モードにアップグレードする場合、インポートされた証明書または SSH 公開鍵が適合しない場合に警告が表示されますが、「標準セキュリティー」モードにアップグレードすることはできます。
「エンタープライズ・ストリクト・セキュリティー」モードから「互換性セキュリティー」モードまたは「標準セキュリティー」モードにダウングレードする場合:
セキュリティー・モードを有効にするために、サーバーが自動的に再起動されます。
Strict モードの FoD キーが XCC2 で欠落しているか有効期限が切れている場合、および XCC2 が自己署名 TLS 証明書を使用する場合、XCC2 は Standard Strict に準拠するアルゴリズムに基づいて自己署名証明書を再生成します。XClarity Administrator は、証明書エラーによる接続障害を表示します。信頼できない証明書のエラーを解決するには、XClarity Administrator オンライン・ドキュメントの「非トラステッド・サーバー証明書の解決」を参照してください。XCC2 がカスタム TLS 証明書を使用する場合、XCC2 はダウングレードを許可し、「標準セキュリティー」モードの暗号化に基づいてサーバー証明書をインポートする必要があるという警告が表示されます。
「NIST SP 800-131A」モードは、XCC2 を持つサーバーではサポートされていません。
XClarity Administrator の暗号モードが TLS v1.2 に設定され、管理対象認証を使用する管理対象サーバーのセキュリティー・モードが TLS v1.2 に設定されている場合、XClarity Administrator または XCC のいずれかを使用してサーバーのセキュリティー・モードを TLS v1.3 に変更すると、サーバーは永続的にオフラインになります。
XClarity Administratorの暗号モードが TLS v1.2 に設定され、セキュリティー・モードが TLS v1.3 に設定されている XCC を使用してサーバーを管理しようとしても、管理対象認証を使用してサーバーを管理することはできません。
インテルまたは AMD プロセッサーを搭載した Lenovo ThinkSystem サーバー (SR635 / SR655 を除く)
Lenovo ThinkSystem V2 サーバー
インテルまたは AMD プロセッサーを搭載した Lenovo ThinkSystem V3 サーバー
Lenovo ThinkEdge SE350 / SE450 サーバー
Lenovo System x サーバー
管理サーバーのセキュリティー設定について詳しくは、XClarity Administrator オンライン・ドキュメントの「管理対象サーバーのセキュリティー設定の構成」を参照してください。