본문으로 건너뛰기

관리되는 서버의 보안 설정 구성

관리되는 서버의 SSL/TLS 버전 및 암호 설정을 구성할 수 있습니다.

이 작업 정보

다음과 같은 암호화 모드 변경의 영향을 고려하십시오.

  • 호환성 보안 모드 또는 표준 보안 모드에서 Enterprise Strict 보안 모드로 변경하는 것은 지원되지 않습니다.

  • 호환성 보안 모드에서 표준 보안 모드로 업그레이드하는 경우 가져온 인증서 또는 SSH 공개 키가 호환되지 않으면 경고가 표시되지만 표준 보안 모드로 업그레이드할 수는 있습니다.

  • Enterprise Strict 보안에서 호환성 보안 또는 표준 보안 모드로 다운그레이드하는 경우.

    • 해당 보안 모드를 적용하기 위해 서버가 자동으로 다시 시작됩니다.

    • XCC2에서 strict 모드 FoD 키가 없거나 만료된 경우 및 XCC2가 자체 서명된 TLS 인증서를 사용하는 경우에는 XCC2가 Standard Strict 호환 알고리즘을 기반으로 자체 서명된 TLS 인증서를 다시 생성합니다. XClarity Administrator에서는 인증서 오류로 인한 연결 실패를 표시합니다. 신뢰할 수 없는 인증서 오류를 해결하려면 신뢰할 수 없는 서버 인증서 해결 내용을 참조하십시오. XCC2가 사용자 지정 TLS 인증서를 사용하는 경우 XCC2는 다운그레이드를 허용하며 표준 보안 모드 암호를 기반으로 하는 서버 인증서를 가져와야 한다고 경고가 표시됩니다.

  • NIST SP 800-131A 모드는 XCC2가 있는 서버에 지원되지 않습니다.

  • XClarity Administrator의 암호화 모드가 TLS v1.2로 설정된 경우 및 관리되는 인증을 사용하는 관리되는 서버에 보안 모드가 TLS v1.2로 설정된 경우, XClarity Administrator 또는 XCC를 사용하여 서버 보안 모드를 TLS v1.3로 변경하면 서버가 영구적으로 오프라인 상태가 됩니다.

  • XClarity Administrator의 암호화 모드가 TLS v1.2로 설정되어 있고 보안 모드가 TLS v1.3으로 설정된 XCC가 있는 서버를 관리하려고 하면 관리되는 인증을 사용하여 서버를 관리할 수 없습니다.

다음 장치의 보안 설정을 변경할 수 있습니다.

  • Intel 또는 AMD 프로세서가 탑재된 Lenovo ThinkSystem 서버(SR635/SR655 제외)

  • Lenovo ThinkSystem V2 서버

  • Intel 또는 AMD 프로세서가 탑재된 Lenovo ThinkSystem V3 서버

  • Lenovo ThinkEdge SE350/SE450 서버

  • Lenovo System x 서버

절차

특정 관리되는 서버의 보안 설정을 변경하려면 다음 단계를 완료하십시오.

  1. XClarity Administrator 메뉴에서 하드웨어 > 서버를 클릭하십시오. 모든 관리되는 서버의 표 형식 보기와 함께 서버 페이지가 표시됩니다.
  2. 하나 이상의 서버를 선택하십시오.
  3. 보안 모드를 구성합니다.

    1. 모든 작업 > 보안 > 시스템 보안 모드 설정을 클릭하여 시스템 보안 모드 설정 대화 상자를 표시하십시오.

      대화 상자에는 각 모드로 설정할 수 있는 서버 수가 나열됩니다. 각 번호 위로 커서를 가져가면 해당 서버 이름 목록이 있는 팝업이 표시됩니다.

    2. 보안 모드를 선택합니다. 이는 다음 값 중 하나입니다.

      • 호환성 보안. 서비스 및 클라이언트에 CNSA/FIPS와 호환되지 않는 암호가 필요한 경우 이 모드를 선택하십시오. 이 모드는 광범위한 암호화 알고리즘을 지원하며 모든 서비스를 활성화할 수 있습니다.

      • NIST SP 800-131A. NIST SP 800-131A 표준을 준수하도록 하려면 이 모드를 선택하십시오. 여기에는 RSA 키를 2048비트 이상으로 제한하고, 디지털 서명에 사용되는 해시를 SHA-256 이상으로 제한하며, NIST 승인 대칭적 암호화 알고리즘만 사용되도록 하는 것 등이 포함됩니다. 이 모드에서는 SSL/TLS 모드를 TLS 1.2 서버 클라이언트로 설정해야 합니다.

        이 모드는 XCC2가 있는 서버에 지원되지 않습니다.

      • 표준 보안. (XCC2가 있는 서버만 해당) XCC2가 있는 서버의 기본 보안 모드입니다. FIPS 140-3 표준을 준수하도록 하려면 이 모드를 선택하십시오. XCC가 FIPS 140-3 검증 모드에서 작동하려면 FIPS 140-3 수준 암호화를 지원하는 서비스만 활성화할 수 있습니다. FIPS 140-2/140-3 수준 암호화를 지원하지 않는 서비스는 기본적으로 비활성화되지만 필요한 경우 활성화할 수 있습니다. 비 FIPS 140-3 수준 암호화를 사용하는 서비스가 활성화된 경우 XCC는 FIPS 140-3 검증 모드에서 작동 불가합니다. 이 모드에는 FIPS 수준 인증서가 필요합니다.

      • Enterprise Strict 보안. (XCC2가 있는 서버만 해당) 가장 안전한 모드입니다. CNSA 표준을 준수하도록 하려면 이 모드를 선택하십시오. CNSA 수준 암호화를 지원하는 서비스만 허용됩니다. 비보안 서비스는 기본적으로 비활성화되며 활성화할 수 없습니다. 이 모드에는 CNSA 수준 인증서가 필요합니다.

        Enterprise Strict 보안 모드에서 XClarity Administrator는 서버에 RSA-3072/SHA-384 인증서 서명을 사용합니다.

        중요사항

        • XCC2 Feature On Demand 키를 선택한 각 XCC2가 있는 서버에 설치하여 이 모드를 사용해야 합니다.

        • 이 모드에서 XClarity Administrator가 자체 서명된 인증서를 사용하는 경우 XClarity Administrator는 RSA3072/SHA384 기반 루트 인증서와 서버 인증서를 사용해야 합니다. XClarity Administrator가 외부 서명 인증서를 사용하는 경우 XClarity Administrator는 RSA3072/SHA384 기반 CSR을 생성하고 외부 CA에 연결하여 RSA3072/SHA384 기반의 새 서버 인증서에 서명해야 합니다.

        • XClarity Administrator가 RSA3072/SHA384 기반 인증서를 사용하는 경우 XClarity Administrator는 Flex System 섀시(CMMS) 및 서버, ThinkSystem 서버, ThinkServer 서버, System x M4 및 M5 서버, Lenovo ThinkSystem DB 시리즈 스위치, Lenovo RackSwitch, Flex System 스위치, Mellanox 스위치, ThinkSystem DE/DM 스토리지 장치, IBM 테이프 라이브러리 및 22C 이전의 펌웨어로 플래시된 ThinkSystem SR635/SR655 서버 이외의 장치 연결을 끊을 수도 있습니다. 연결이 끊긴 장치를 계속 관리하려면 RSA2048/SHA384 기반 인증서로 다른 XClarity Administrator 인스턴스를 설정하십시오.

    3. 적용을 클릭하십시오.

  4. 최소 TLS 버전을 구성합니다.

    1. 모든 작업 > 보안 > System TLS 버전 설정을 클릭하여 System TLS 버전 설정 대화 상자를 표시하십시오.

    2. 다른 서버에 대한 클라이언트 연결(예: LDAP 서버에 대한 LDAP 클라이언트 연결)에 사용할 최소 TLS 프로토콜 버전을 선택합니다. 값은 이 설정을 지원하는 선택된 장치에서 구성됩니다. 다음 옵션을 선택할 수 있습니다.

      • TLS1.2. TLS v1.2 암호화 프로토콜을 적용합니다.
      • TLS1.3. TLS v1.3 암호화 프로토콜을 적용합니다.
      System x 및 CMM 장치는 TLS v1.2만 지원합니다.

    3. 적용을 클릭하십시오.