É possível configurar a versão SSL/TLS e a configuração de criptografia para o servidor de gerenciamento.
Antes de iniciar
Revise considerações de criptografia antes de modificar as configurações no servidor de gerenciamento (consulte Gerenciamento de criptografia).
Sobre esta tarefa
O modo criptográfico determina como as comunicações seguras são manipuladas entre XClarity Administrator e todos os sistemas gerenciados. Se as comunicações seguras forem implementadas, os comprimentos de chave de criptografia a serem usados serão definidos.
Independentemente do modo de criptografia selecionado, os geradores de bits digitais aleatórios aprovados pela NIST são usados sempre, e somente chaves com 128 bits ou mais são usadas para criptografia simétrica.
Para alterar a configuração de segurança para dispositivos gerenciados, consulte Definindo as configurações de segurança de um servidor gerenciado.
Procedimento
Para alterar as configurações de criptografia no servidor de gerenciamento, conclua as etapas a seguir.
- Na barra de menu do XClarity Administrator, clique em .
- Escolha um dos seguintes modos criptográficos a ser usado para comunicações seguras:
- Compatibilidade. Este modo é o padrão. É compatível com versões de firmware, navegadores e outros clientes de rede mais antigos que não implementam padrões de segurança rígidos necessários para conformidade com o NIST SP 800-131A.
NIST SP 800-131A. Este modo foi projetado para obedecer o padrão do NIST SP 800-131A. O XClarity Administrator foi projetado para sempre usar internamente uma criptografia forte e, sempre que disponível, usar conexões de rede com criptografia forte. Entretanto, sempre que estiver neste modo, as conexões de rede que estiverem usando criptografia não aprovada pelo NIST SP 800-131A não serão permitidas, incluindo a rejeição de certificados Transport Layer Security (TLS) que são assinados usando SHA-1 ou um hash mais vulnerável.
Se selecionar esse modo:
Para todas as portas que não sejam a porta 8443, todas as cifras TLS CBC e todas as cifras incompatíveis com Perfect Forward Secrecy são desativadas.
As notificações de eventos podem não ser enviadas por push com sucesso a algumas assinaturas de dispositivo móvel (consulte Encaminhamento de eventos à dispositivos móveis). Os serviços externos, como Android e iOS, apresentam certificados assinados com SHA-1, que é um algoritmo que não está em conformidade com os requisitos mais rigorosos do modo NIST SP 800-131A. Como resultado, as conexões a estes serviços podem falhar com uma exceção de certificado ou falha de handshake.
Para obter mais informações sobre a conformidade do
NIST SP 800-131A, consulte
Implementando a conformidade com NIST SP 800-131A.
- Escolha a versão mínima do protocolo TLS a ser usada para conexões de cliente com outros servidores (como servidor LDAP). É possível escolher a opção a seguir.
- TLS1.2. Impõe os protocolos de criptografia TLS v1.2.
- TLS1.3. Impõe os protocolos de criptografia TLS v1.3.
- Escolha a versão mínima do protocolo TLS a ser usada para conexões de servidor (como servidor da Web). É possível escolher a opção a seguir.
- TLS1.2. Impõe os protocolos de criptografia TLS v1.2.
- TLS1.3. Impõe os protocolos de criptografia TLS v1.3.
- Escolha a versão mínima do protocolo TLS a ser usada para a implantação do sistema operacional do XClarity Administrator e as atualizações de driver de dispositivo do SO. É possível escolher a opção a seguir.
- TLS1.2. Impõe os protocolos de criptografia TLS v1.2.
- TLS1.3. Impõe os protocolos de criptografia TLS v1.3.
Somente sistemas operacionais com um processo de instalação compatível com o algoritmo criptográfico selecionado ou forte podem ser implantados e atualizados por meio do XClarity Administrator.
- Selecione o comprimento da chave criptográfica e o algoritmo hash a ser usado para todas as partes do certificado, inclusive o certificado da CA raiz, o certificado do servidor e a CSR para certificados assinados externamente.
RSA 2048-bit / SHA-256 (padrão)
Esse modo pode ser usado quando os dispositivos gerenciados estão no modo Compatibilidade, NIST SP 800-131A ou Segurança padrão. Esse modo não pode ser usado quando um ou mais dispositivos gerenciados estão no modo Segurança corporativa estrita.
RSA 3072-bit/SHA-384
Esse modo é necessário para quando dispositivos gerenciados estão no modo Segurança corporativa estrita.
Somente servidores com XCC2 são compatíveis com assinaturas de certificado RSA-3072/SHA-384. Depois de configurar o XClarity Administrator com um certificado baseado em RSA-3072/SHA-384, os dispositivos não XCC2 não são gerenciados. Para gerenciar dispositivos não XCC2, é necessária uma instância separada do XClarity Administrator.
- Clique em Aplicar.
- Reinicie o XClarity Administrator (consulte Reiniciando o XClarity Administrator).
- Se você alterou o comprimento da chave criptográfica, gere novamente o certificado raiz da autoridade de certificação usando o comprimento da chave e o algoritmo hash corretos (consulte Gerar novamente ou restaurar o certificado de servidor autoassinado do Lenovo XClarity Administrator ou Implantando certificados de servidor personalizado em Lenovo XClarity Administrator).
Depois de concluir
Se você receber um alerta informando que o certificado do servidor não é confiável para um dispositivo gerenciado, consulte Resolvendo um certificado de servidor não confiável.