본문으로 건너뛰기

관리되는 서버의 보안 설정 구성

관리되는 서버의 SSL/TLS 버전 및 암호 설정을 구성할 수 있습니다.

이 작업 정보

다음과 같은 암호화 모드 변경의 영향을 고려하십시오.
  • XClarity Administrator v4.2 이하:

    • XCC의 TLS 버전이 v1.3으로 설정된 경우 ThinkSystem 또는 ThinkAgile 서버를 관리하기 위해 관리 인증을 사용하려면 XClarity Administrator최소 서버 TLS 버전도 TLS v1.3으로 설정해야 합니다(온라인 설명서의 관리 서버의 암호화 설정 구성 참조).
  • XClarity Administrator v4.0 이하:
    • XCC의 보안 모드가 TLS v1.3으로 설정된 경우 관리되는 인증을 사용하여 ThinkSystem 또는 ThinkAgile 서버를 관리할 수 없습니다.
    • 관리되는 인증을 사용하여 관리되는 ThinkSystem 또는 ThinkAgile 서버의 경우 XClarity Administrator 또는 XCC를 사용하여 XCC의 보안 모드를 TLS v1.3으로 변경하면 서버가 오프라인 상태가 됩니다.
  • 호환성 보안 모드 또는 표준 보안 모드에서 Enterprise Strict 보안 모드로 변경하는 것은 지원되지 않습니다.

  • 호환성 보안 모드에서 표준 보안 모드로 업그레이드하는 경우 가져온 인증서 또는 SSH 공개 키가 호환되지 않으면 경고가 표시되지만 표준 보안 모드로 업그레이드할 수는 있습니다.

  • Enterprise Strict 보안에서 호환성 보안 또는 표준 보안 모드로 다운그레이드하는 경우.

    • 해당 보안 모드를 적용하기 위해 서버가 자동으로 다시 시작됩니다.

    • ThinkSystem V3 및 V4의 경우: XCC에서 Strict 모드 FoD 키가 없거나 만료된 경우 및 XCC가 자체 서명된 TLS 인증서를 사용하는 경우에는 XCC가 Standard Strict 호환 알고리즘을 기반으로 자체 서명된 XCC 인증서를 다시 생성합니다. XClarity Administrator에서는 인증서 오류로 인한 연결 실패를 표시합니다. 신뢰할 수 없는 인증서 오류를 해결하려면 신뢰할 수 없는 서버 인증서 해결 내용을 참조하십시오. XCC가 사용자 지정 TLS 인증서를 사용하는 경우 XCC는 다운그레이드를 허용하며 표준 보안 모드 암호를 기반으로 하는 서버 인증서를 가져와야 한다고 경고가 표시됩니다.

다음 장치의 보안 설정을 변경할 수 있습니다.
  • Intel 또는 AMD 프로세서가 탑재된 Lenovo ThinkSystem 서버(SR635/SR655 제외)
  • Lenovo ThinkSystem V2 서버
  • Intel 또는 AMD 프로세서가 탑재된 Lenovo ThinkSystem V3 서버
  • Lenovo ThinkSystem V4 서버
  • Lenovo ThinkEdge SE350 및 SE450 서버
  • Lenovo System x 서버

절차

특정 관리되는 서버의 보안 설정을 변경하려면 다음 단계를 완료하십시오.

  1. XClarity Administrator 메뉴에서 하드웨어 > 서버를 클릭하십시오. 모든 관리되는 서버의 표 형식 보기와 함께 서버 페이지가 표시됩니다.
  2. 하나 이상의 서버를 선택하십시오.
  3. 보안 모드를 구성합니다.
    1. 모든 작업 > 보안 > 시스템 보안 모드 설정을 클릭하여 시스템 보안 모드 설정 대화 상자를 표시하십시오.

      대화 상자에는 각 모드로 설정할 수 있는 서버 수가 나열됩니다. 각 번호 위로 커서를 가져가면 해당 서버 이름 목록이 있는 팝업이 표시됩니다.

    2. 보안 모드를 선택합니다. 이는 다음 값 중 하나입니다.

      • 호환성 보안. 서비스 및 클라이언트에 CNSA/FIPS와 호환되지 않는 암호가 필요한 경우 이 모드를 선택하십시오. 이 모드는 광범위한 암호화 알고리즘을 지원하며 모든 서비스를 활성화할 수 있습니다.

      • NIST SP 800-131A. NIST SP 800-131A 표준을 준수하도록 하려면 이 모드를 선택하십시오. 여기에는 RSA 키를 2048비트 이상으로 제한하고, 디지털 서명에 사용되는 해시를 SHA-256 이상으로 제한하며, NIST 승인 대칭적 암호화 알고리즘만 사용되도록 하는 것 등이 포함됩니다. 이 모드에서는 SSL/TLS 모드를 TLS 1.2 서버 클라이언트로 설정해야 합니다.

        이 모드는 ThinkSystem V1 및 V2 서버에서 지원됩니다.

      • 표준 보안. ThinkSystem V3 및 V4 서버의 기본 보안 모드입니다. FIPS 140-3 표준을 준수하도록 하려면 이 모드를 선택하십시오. XCC가 FIPS 140-3 검증 모드에서 작동하려면 FIPS 140-3 수준 암호화를 지원하는 서비스만 활성화할 수 있습니다. FIPS 140-2/140-3 수준 암호화를 지원하지 않는 서비스는 기본적으로 비활성화되지만 필요한 경우 활성화할 수 있습니다. 비 FIPS 140-3 수준 암호화를 사용하는 서비스가 활성화된 경우 XCC는 FIPS 140-3 검증 모드에서 작동 불가합니다. 이 모드에는 FIPS 수준 인증서가 필요합니다.

      • Enterprise Strict 보안. ThinkSystem V3 및 V4 서버를 위한 가장 안전한 모드입니다. CNSA 표준을 준수하도록 하려면 이 모드를 선택하십시오. CNSA 수준 암호화를 지원하는 서비스만 허용됩니다. 비보안 서비스는 기본적으로 비활성화되며 활성화할 수 없습니다. 이 모드에는 CNSA 수준 인증서가 필요합니다.

        Enterprise Strict 보안 모드에서 XClarity Administrator는 서버에 RSA 3072-bit / SHA-384 인증서 서명을 사용합니다.

        중요사항
        • XCC Feature On Demand 키를 선택한 각 ThinkSystem V3 및 V4 서버(XCC2 또는 XCC3 포함)에 설치하여 이 모드를 사용해야 합니다.

        • 이 모드에서 XClarity Administrator이(가) 자체 서명된 인증서를 사용하는 경우 XClarity Administrator은(는) RSA 3072-bit / SHA-384 기반 루트 인증서와 서버 인증서를 사용해야 합니다. XClarity Administrator이(가) 외부 서명 인증서를 사용하는 경우 XClarity Administrator은(는) RSA 3072-bit / SHA-384 기반 CSR을 생성하고 외부 CA에 연결하여 RSA 3072-bit / SHA-384 기반의 새 서버 인증서에 서명해야 합니다.

        • XClarity Administrator이(가) RSA 3072-bit / SHA-384 기반 인증서를 사용하는 경우 XClarity Administrator은(는) Flex System 섀시(CMMS) 및 서버, ThinkSystem 서버, ThinkServer 서버, System x M4 및 M5 서버, Lenovo ThinkSystem DB 시리즈 스위치, Lenovo RackSwitch, Flex System 스위치, Mellanox 스위치, ThinkSystem DE/DM 스토리지 장치, IBM 테이프 라이브러리 및 22C 이전의 펌웨어로 플래시된 ThinkSystem SR635/SR655 서버 이외의 장치 연결을 끊을 수도 있습니다. 연결이 끊긴 장치를 계속 관리하려면 RSA 2048-bit / SHA-256 기반 인증서로 다른 XClarity Administrator 인스턴스를 설정하십시오.

      • 높은 보안. ThinkSystem V1 및 V2 서버를 위한 가장 안전한 모드입니다. NIST 및 PFS(Perfect Forward Secrecy) 표준을 준수하려면 이 모드를 선택합니다.

        이 모드는 ThinkSystem V1 및 V2 서버에서만 지원됩니다. 2023년 2분기 이후에 출시된 XCC 펌웨어 버전이 필요합니다.

    3. 적용을 클릭하십시오.

  4. 최소 TLS 버전을 구성합니다.
    1. 모든 작업 > 보안 > System TLS 버전 설정을 클릭하여 System TLS 버전 설정 대화 상자를 표시하십시오.

    2. 다른 서버에 대한 클라이언트 연결(예: LDAP 서버에 대한 LDAP 클라이언트 연결)에 사용할 최소 TLS 프로토콜 버전을 선택합니다. 값은 이 설정을 지원하는 선택된 장치에서 구성됩니다. 다음 옵션을 선택할 수 있습니다.

      • TLS1.2. TLS v1.2 암호화 프로토콜을 적용합니다.
      • TLS1.3. TLS v1.3 암호화 프로토콜을 적용합니다.
      System x 및 CMM 장치는 TLS v1.2만 지원합니다.
    3. 적용을 클릭하십시오.