관리되는 서버의 SSL/TLS 버전 및 암호 설정을 구성할 수 있습니다.
이 작업 정보
다음과 같은 암호화 모드 변경의 영향을 고려하십시오.
호환성 보안 모드 또는 표준 보안 모드에서 Enterprise Strict 보안 모드로 변경하는 것은 지원되지 않습니다.
호환성 보안 모드에서 표준 보안 모드로 업그레이드하는 경우 가져온 인증서 또는 SSH 공개 키가 호환되지 않으면 경고가 표시되지만 표준 보안 모드로 업그레이드할 수는 있습니다.
Enterprise Strict 보안에서 호환성 보안 또는 표준 보안 모드로 다운그레이드하는 경우.
해당 보안 모드를 적용하기 위해 서버가 자동으로 다시 시작됩니다.
XCC2에서 strict 모드 FoD 키가 없거나 만료된 경우 및 XCC2가 자체 서명된 TLS 인증서를 사용하는 경우에는 XCC2가 Standard Strict 호환 알고리즘을 기반으로 자체 서명된 TLS 인증서를 다시 생성합니다. XClarity Administrator에서는 인증서 오류로 인한 연결 실패를 표시합니다. 신뢰할 수 없는 인증서 오류를 해결하려면 신뢰할 수 없는 서버 인증서 해결 내용을 참조하십시오. XCC2가 사용자 지정 TLS 인증서를 사용하는 경우 XCC2는 다운그레이드를 허용하며 표준 보안 모드 암호를 기반으로 하는 서버 인증서를 가져와야 한다고 경고가 표시됩니다.
NIST SP 800-131A 모드는 XCC2가 있는 서버에 지원되지 않습니다.
XClarity Administrator의 암호화 모드가 TLS v1.2로 설정된 경우 및 관리되는 인증을 사용하는 관리되는 서버에 보안 모드가 TLS v1.2로 설정된 경우, XClarity Administrator 또는 XCC를 사용하여 서버 보안 모드를 TLS v1.3로 변경하면 서버가 영구적으로 오프라인 상태가 됩니다.
XClarity Administrator의 암호화 모드가 TLS v1.2로 설정되어 있고 보안 모드가 TLS v1.3으로 설정된 XCC가 있는 서버를 관리하려고 하면 관리되는 인증을 사용하여 서버를 관리할 수 없습니다.
다음 장치의 보안 설정을 변경할 수 있습니다.
Intel 또는 AMD 프로세서가 탑재된 Lenovo ThinkSystem 서버(SR635/SR655 제외)
Lenovo ThinkSystem V2 서버
Intel 또는 AMD 프로세서가 탑재된 Lenovo ThinkSystem V3 서버
Lenovo ThinkEdge SE350/SE450 서버
Lenovo System x 서버
절차
특정 관리되는 서버의 보안 설정을 변경하려면 다음 단계를 완료하십시오.
- XClarity Administrator 메뉴에서 를 클릭하십시오. 모든 관리되는 서버의 표 형식 보기와 함께 서버 페이지가 표시됩니다.
- 하나 이상의 서버를 선택하십시오.
- 보안 모드를 구성합니다.
을 클릭하여 시스템 보안 모드 설정 대화 상자를 표시하십시오.
대화 상자에는 각 모드로 설정할 수 있는 서버 수가 나열됩니다. 각 번호 위로 커서를 가져가면 해당 서버 이름 목록이 있는 팝업이 표시됩니다.
보안 모드를 선택합니다. 이는 다음 값 중 하나입니다.
호환성 보안. 서비스 및 클라이언트에 CNSA/FIPS와 호환되지 않는 암호가 필요한 경우 이 모드를 선택하십시오. 이 모드는 광범위한 암호화 알고리즘을 지원하며 모든 서비스를 활성화할 수 있습니다.
NIST SP 800-131A. NIST SP 800-131A 표준을 준수하도록 하려면 이 모드를 선택하십시오. 여기에는 RSA 키를 2048비트 이상으로 제한하고, 디지털 서명에 사용되는 해시를 SHA-256 이상으로 제한하며, NIST 승인 대칭적 암호화 알고리즘만 사용되도록 하는 것 등이 포함됩니다. 이 모드에서는 SSL/TLS 모드를 TLS 1.2 서버 클라이언트로 설정해야 합니다.
이 모드는 XCC2가 있는 서버에 지원되지 않습니다.
표준 보안. (XCC2가 있는 서버만 해당) XCC2가 있는 서버의 기본 보안 모드입니다. FIPS 140-3 표준을 준수하도록 하려면 이 모드를 선택하십시오. XCC가 FIPS 140-3 검증 모드에서 작동하려면 FIPS 140-3 수준 암호화를 지원하는 서비스만 활성화할 수 있습니다. FIPS 140-2/140-3 수준 암호화를 지원하지 않는 서비스는 기본적으로 비활성화되지만 필요한 경우 활성화할 수 있습니다. 비 FIPS 140-3 수준 암호화를 사용하는 서비스가 활성화된 경우 XCC는 FIPS 140-3 검증 모드에서 작동 불가합니다. 이 모드에는 FIPS 수준 인증서가 필요합니다.
Enterprise Strict 보안. (XCC2가 있는 서버만 해당) 가장 안전한 모드입니다. CNSA 표준을 준수하도록 하려면 이 모드를 선택하십시오. CNSA 수준 암호화를 지원하는 서비스만 허용됩니다. 비보안 서비스는 기본적으로 비활성화되며 활성화할 수 없습니다. 이 모드에는 CNSA 수준 인증서가 필요합니다.
Enterprise Strict 보안 모드에서 XClarity Administrator는 서버에 RSA-3072/SHA-384 인증서 서명을 사용합니다.
XCC2 Feature On Demand 키를 선택한 각 XCC2가 있는 서버에 설치하여 이 모드를 사용해야 합니다.
이 모드에서 XClarity Administrator가 자체 서명된 인증서를 사용하는 경우 XClarity Administrator는 RSA3072/SHA384 기반 루트 인증서와 서버 인증서를 사용해야 합니다. XClarity Administrator가 외부 서명 인증서를 사용하는 경우 XClarity Administrator는 RSA3072/SHA384 기반 CSR을 생성하고 외부 CA에 연결하여 RSA3072/SHA384 기반의 새 서버 인증서에 서명해야 합니다.
XClarity Administrator가 RSA3072/SHA384 기반 인증서를 사용하는 경우 XClarity Administrator는 Flex System 섀시(CMMS) 및 서버, ThinkSystem 서버, ThinkServer 서버, System x M4 및 M5 서버, Lenovo ThinkSystem DB 시리즈 스위치, Lenovo RackSwitch, Flex System 스위치, Mellanox 스위치, ThinkSystem DE/DM 스토리지 장치, IBM 테이프 라이브러리 및 22C 이전의 펌웨어로 플래시된 ThinkSystem SR635/SR655 서버 이외의 장치 연결을 끊을 수도 있습니다. 연결이 끊긴 장치를 계속 관리하려면 RSA2048/SHA384 기반 인증서로 다른 XClarity Administrator 인스턴스를 설정하십시오.
적용을 클릭하십시오.
- 최소 TLS 버전을 구성합니다.
을 클릭하여 System TLS 버전 설정 대화 상자를 표시하십시오.
다른 서버에 대한 클라이언트 연결(예: LDAP 서버에 대한 LDAP 클라이언트 연결)에 사용할 최소 TLS 프로토콜 버전을 선택합니다. 값은 이 설정을 지원하는 선택된 장치에서 구성됩니다. 다음 옵션을 선택할 수 있습니다.
- TLS1.2. TLS v1.2 암호화 프로토콜을 적용합니다.
- TLS1.3. TLS v1.3 암호화 프로토콜을 적용합니다.
System x 및 CMM 장치는 TLS v1.2만 지원합니다.
적용을 클릭하십시오.