管理対象サーバーの SSL/TLS バージョンおよび暗号設定を構成できます。
このタスクについて
暗号モードを変更する際の考慮事項を以下に示します。
「互換性セキュリティー」モードまたは「標準セキュリティー」モードから「エンタープライズ・ストリクト・セキュリティー」モードへの変更はサポートされていません。
「互換性セキュリティー」モードから「標準セキュリティー」モードにアップグレードする場合、インポートされた証明書または SSH 公開鍵が適合しない場合に警告が表示されますが、「標準セキュリティー」モードにアップグレードすることはできます。
「エンタープライズ・ストリクト・セキュリティー」モードから「互換性セキュリティー」モードまたは「標準セキュリティー」モードにダウングレードする場合:
セキュリティー・モードを有効にするために、サーバーが自動的に再起動されます。
Strict モードの FoD キーが XCC2 で欠落しているか有効期限が切れている場合、および XCC2 が自己署名 TLS 証明書を使用する場合、XCC2 は Standard Strict に準拠するアルゴリズムに基づいて自己署名証明書を再生成します。XClarity Administrator は、証明書エラーによる接続障害を表示します。信頼できない証明書のエラーを解決するには、XClarity Administrator オンライン・ドキュメントの「非トラステッド・サーバー証明書の解決」を参照してください。XCC2 がカスタム TLS 証明書を使用する場合、XCC2 はダウングレードを許可し、「標準セキュリティー」モードの暗号化に基づいてサーバー証明書をインポートする必要があるという警告が表示されます。
- 「NIST SP 800-131A」モードは、XCC2 を持つサーバーではサポートされていません。
- XCC のセキュリティー・モードが TLS v1.3 に設定されている場合は、管理対象認証を使用して ThinkSystem または ThinkAgile サーバーを管理することはできません。
- 管理対象認証を使用して管理されている ThinkSystem または ThinkAgile サーバーの場合、XClarity Administrator または XCC のいずれかを使用して XCC のセキュリティー・モードを TLS v1.3 に変更すると、サーバーがオフラインになります。
次のデバイスのセキュリティー設定は変更できます。
- インテルまたは AMD プロセッサーを搭載した Lenovo ThinkSystem サーバー (SR635 / SR655 を除く)
- Lenovo ThinkSystem V2 サーバー
- インテルまたは AMD プロセッサーを搭載した Lenovo ThinkSystem V3 サーバー
- Lenovo ThinkEdge SE350 / SE450 サーバー
- Lenovo System x サーバー
手順
固有の管理対象サーバーのセキュリティー設定を変更するには、以下の手順を完了します。
- XClarity Administrator のメニューで、の順にクリックします。「サーバー」ページが開いて、すべての管理対象サーバーがテーブル・ビューで表示されます。
- 1 つ以上のサーバーを選択します。
- セキュリティー・モードを構成する。
をクリックして、「システム・セキュリティー・モードの設定」ダイアログを表示します。
ダイアログには、各モードに設定できるサーバーの数がリストされています。各番号の上にカーソルを置き、該当するサーバー名のリストをポップアップで表示します。
セキュリティ・モードを選択します。これは以下のいずれかの値です。
互換性セキュリティー。サービスおよびクライアントで CNSA/FIPS 準拠ではない暗号化が必要な場合に、このモードを選択します。このモードでは、広範な暗号化アルゴリズムがサポートされており、すべてのサービスを有効にできます。
「NIST SP 800-131A」。NIST SP 800-131A 基準に確実に準拠するには、このモードを選択してください。これには、RSA 鍵が 2048 ビット以上であること、デジタル署名に用いるハッシュ値は SHA-256 で得られる値以上の長さであること、NIST が承認している対称暗号アルゴリズムのみを使用することなどの制限が課されます。このモードは、SSL/TLS モードを「TLS 1.2 サーバーおよびクライアント」に設定する必要があります。
このモードは、XCC2 を持つサーバーではサポートされていません。
標準セキュリティー。(XCC2 を持つサーバーのみ) これは、XCC2 を含むサーバー のデフォルトのセキュリティー・モードです。FIPS 140-3 基準に確実に準拠するには、このモードを選択してください。XCC を FIPS 140-3 検証モードで動作させるには、FIPS 140-3 レベルの暗号化をサポートするサービスのみが有効にできます。FIPS 140-2/140-3 レベル暗号化をサポートしないサービスは、デフォルトでは無効になっていますが、必要な場合は有効にできます。FIPS 140-3 レベル以外の暗号化を使用するサービスが有効になっている場合、XCC は FIPS 140-3 検証モードでは動作できません。このモードでは、FIP レベルの証明書が必要です。
エンタープライズ・ストリクト・セキュリティー。(XCC2 を含むサーバー のみ) これは、最もセキュアなモードです。CNSA 基準に確実に準拠するには、このモードを選択してください。CNSA レベルの暗号化をサポートするサービスのみ使用できます。非セキュア・サービスは、デフォルトでは無効になっており、有効にすることはできません。このモードでは、CNSA レベルの証明書が必要です。
XClarity Administrator は「エンタープライズ・ストリクト・セキュリティー」モードのサーバーに RSA-3072/SHA-384 証明書の署名を使用します。
このモードを使用するには、選択したそれぞれの XCC2 を含むサーバー に XCC2 Feature On Demand キーがインストールされていなればなりません。
このモードで XClarity Administrator が自己署名証明書を使用する場合は、XClarity Administrator は RSA3072/SHA384 ベースのルート証明書とサーバー証明書を使用する必要があります。XClarity Administrator が外部署名済み証明書を使用する場合は、XClarity Administrator は RSA3072/SHA384 ベースの CSR を生成し、外部 CA に問い合わせ、RSA3072/SHA384 に基づく新しいサーバー証明書に署名する必要があります。
XClarity Administrator が RSA3072/SHA384 ベースの証明書を使用する場合、XClarity Administrator は Flex System シャーシ (CMMS) サーバーおよびサーバー、ThinkSystem サーバー、ThinkServer サーバー、System x M4 および M5 サーバー、Lenovo ThinkSystem DB シリーズ・スイッチ、Lenovo RackSwitch、Flex System スイッチ、Mellanox スイッチ、ThinkSystem DE/DM ストレージ・デバイス、IBM テープ・ライブラリー・ストレージ、および 22C 以前のファームウェアがフラッシュされた ThinkSystem SR635/SR655 サーバー以外のデバイスを切断する可能性があります。切断されたデバイスの管理を続行するには、RSA2048/SHA384 ベースの証明書を使用して別の XClarity Administrator インスタンスをセットアップしてください。
「適用」をクリックします。
- TLS の最小バージョンを構成します。
をクリックして、「システム TLS バージョンの設定」ダイアログを表示します。
クライアントを他のサーバーに接続するために使用する TLS プロトコルの最小バージョンを選択します (LDAP クライアントから LDAP サーバーへの接続など)。この値は、この設定をサポートする選択済みのデバイスで構成されます。以下のオプションを選択できます。
- TLS1.2。TLS v1.2 暗号化プロトコルを強制適用します。
- TLS1.3。TLS v1.3 暗号化プロトコルを強制適用します。
System x および CMM デバイスがサポートするのは TLS v1.2 のみです。
「適用」をクリックします。