본문으로 건너뛰기

관리 서버의 암호화 설정 구성

관리 서버의 SSL/TLS 버전 및 암호 설정을 구성할 수 있습니다.

시작하기 전에

관리 서버의 설정을 수정하기 전에 암호화 고려 사항을 검토하십시오(암호화 관리 참조).

이 작업 정보

암호 모드XClarity Administrator와 모든 관리되는 모든 시스템 간에 보안 통신이 처리되는 방식을 결정합니다. 보안 통신을 구현하는 경우 사용할 암호화 키 길이를 설정합니다.

선택하는 암호 모드와 관계 없이 NIST가 승인한 Digital Random Bit Generator를 항상 사용하고 대칭 암호화에 128비트 또는 더 긴 키만 사용합니다.

관리되는 장치의 보안 설정을 변경하려면 관리되는 서버의 보안 설정 구성의 내용을 참조하십시오.

절차

관리 서버의 암호 설정을 변경하려면 다음 단계를 완료하십시오.

  1. XClarity Administrator 메뉴 바에서 관리 > 보안을 클릭하십시오.
  2. 보안 통신에 사용할 다음 암호 모드 중 하나를 선택하십시오.
    • 호환성. 이 모드는 기본값입니다. NIST SP 800-131A 준수에 필요한 엄격한 보안 표준을 구현하지 않는 이전 펌웨어 버전, 브라우저 및 기타 네트워크 클라이언트와 호환됩니다.

    • NIST SP 800-131A. 이 모드는 NIST SP 800-131A 표준을 준수하도록 설계되어 있습니다. XClarity Administrator는 항상 내부적으로 강력한 암호를 사용하고 사용 가능한 경우 강력한 암호 네트워크 연결을 사용하도록 설계되어 있습니다. 그러나 이 모드에서는 SHA-1 또는 이보다 약한 해시로 서명된 TLS(Transport Layer Security) 인증서 거부 등 NIST SP 800-131A가 승인하지 않는 암호를 사용하는 네트워크 연결은 허용되지 않습니다.

      이 모드를 선택하는 경우:

      • 포트 8443을 제외한 모든 포트의 경우 모든 TLS CBC 암호 및 Perfect Forward Secrecy를 지원하지 않는 모든 암호가 비활성화됩니다.

      • 이벤트 알림은 일부 모바일 장치 구독에는 성공적으로 푸시되지 않을 수 있습니다(모바일 장치에 이벤트 전달 참조). Android 및 iOS와 같은 외부 서비스는 NIST SP 800-131A 모드의 더 엄격한 요구사항을 준수하지 않는 알고리즘인 SHA-1로 서명된 인증서를 제공합니다. 결과적으로 이러한 서비스에 대한 연결은 인증서 예외 또는 핸드셰이크 오류로 실패할 수 있습니다.

      NIST SP 800-131A 준수에 대한 자세한 정보는 NIST SP 800-131A 준수 구현의 내용을 참조하십시오.
  3. 다른 서버(LDAP 서버 등)에 대한 클라이언트 연결에 사용할 최소 TLS 프로토콜 버전을 선택하십시오. 다음 옵션을 선택할 수 있습니다.
    • TLS1.2. TLS v1.2 암호화 프로토콜을 적용합니다.
    • TLS1.3. TLS v1.3 암호화 프로토콜을 적용합니다.
  4. 서버트 연결(예, 웹 서버)에 사용할 최소 TLS 프로토콜 버전을 선택하십시오. 다음 옵션을 선택할 수 있습니다.
    • TLS1.2. TLS v1.2 암호화 프로토콜을 적용합니다.
    • TLS1.3. TLS v1.3 암호화 프로토콜을 적용합니다.
  5. 최소 TLS 모드는 XClarity Administrator 운영 체제 배포 및 OS 장치 드라이버 업데이트에 사용할 최소 TLS 프로토콜 버전을 선택합니다. 다음 옵션을 선택할 수 있습니다.
    • TLS1.2. TLS v1.2 암호화 프로토콜을 적용합니다.
    • TLS1.3. TLS v1.3 암호화 프로토콜을 적용합니다.
    선택한 암호화 알고리즘이나 강력한 암호화 알고리즘을 지원하는 설치 프로세스를 갖춘 운영 체제만 XClarity Administrator를 통해 배포되고 업데이트될 수 있습니다.
  6. 루트 CA 인증서, 서버 인증서 및 외부 서명 인증서의 CSR을 포함하여 인증서의 모든 부분에 사용할 암호화 키 길이 및 해시 알고리즘을 선택하십시오.

    • RSA 2048비트/SHA-256(기본)

      이 모드는 관리되는 장치가 호환성, NIST SP 800-131A 또는 표준 보안 모드일 때 사용 가능합니다. 이 모드는 하나 이상의 관리되는 장치가 Enterprise Strict 보안 모드일 경우 사용 불가합니다.

    • RSA 3072비트/SHA-384

      이 모드는 관리되는 장치가 Enterprise Strict 보안 모드인 경우에 필요합니다.

      중요사항
      XCC2가 있는 서버만 RSA-3072/SHA-384 인증서 서명을 지원합니다. XClarity Administrator를 RSA-3072/SHA-384 기반 인증서로 구성한 후에는 비 XCC2 장치가 관리되지 않습니다. 비 XCC2 장치를 관리하려면 별도의 XClarity Administrator 인스턴스가 필요합니다.
  7. 적용을 클릭하십시오.
  8. XClarity Administrator를 다시 시작하십시오(XClarity Administrator 다시 시작 참조).
  9. 암호화 키 길이를 변경한 경우에는 올바른 키 길이 및 해시 알고리즘을 사용하여 인증 기관 루트 인증서를 다시 생성하십시오(Lenovo XClarity Administrator 자체 서명된 서버 인증서 다시 생성 또는 복원 또는 Lenovo XClarity Administrator에 사용자 지정된 서버 인증서 배포 참조).

완료한 후에

관리되는 장치에 대해 서버 인증서를 신뢰할 수 없다는 경고를 수신하는 경우 신뢰할 수 없는 서버 인증서 해결의 내용을 참조하십시오.