É possível configurar a versão SSL/TLS e a configuração de criptografia para servidores gerenciados.
Sobre esta tarefa
Considere as seguintes implicações de alterar o modo criptográfico.
Para XClarity Administrator v4.2 e versões anteriores:
- Para XClarity Administrator v4.0 e versões anteriores:
- Não é possível usar autenticação gerenciada para gerenciar um servidor ThinkSystem ou ThinkAgile quando o modo de segurança do XCC é definido como TLS v1.3.
- Para um servidor ThinkSystem ou ThinkAgile que é gerenciado usando autenticação gerenciada, alterar o modo de segurança do XCC para TLS v1.3 usando XClarity Administrator ou XCC fará com que o servidor fique offline.
A alteração do modo Segurança de compatibilidade ou Segurança padrão para Segurança corporativa estrita não é compatível.
Se você atualizar do Segurança de compatibilidade para o modo Segurança padrão, será advertido se certificados importados ou chaves públicas SSH não forem compatíveis, mas você ainda poderá fazer a atualização para o modo Segurança padrão.
Se você fizer downgrade do modo Segurança corporativa estrita para Segurança de compatibilidade ou Segurança padrão:
O servidor é reiniciado automaticamente para que o modo de segurança entre em vigor.
Para servidores ThinkSystem V3 e V4: se a chave FoD do modo estrito estiver ausente ou expirada no XCC e se o XCC usar um certificado TLS autoassinado, o XCC gerará novamente o certificado TLS autoassinado com base no algoritmo compatível com Estrito padrão. O XClarity Administrator mostra uma falha de conexão devido a um erro de certificado. Para resolver o erro de certificado não confiável, consulte Resolvendo um certificado de servidor não confiável. Se o XCC usar um certificado TLS personalizado, o XCC permitirá o downgrade e avisará que você precisa importar um certificado do servidor baseado na criptografia do modo Segurança padrão.
É possível alterar as configurações de segurança dos dispositivos a seguir.
- Servidores Lenovo ThinkSystem com processadores Intel ou AMD (exceto SR635/SR655)
- Servidores Lenovo ThinkSystem V2
- Servidores Lenovo ThinkSystem V3 com processadores Intel ou AMD
- Servidores Lenovo ThinkSystem V4
- Servidores Lenovo ThinkEdge SE350 e SE450
- Servidores Lenovo System x
Procedimento
Para alterar as configurações de segurança de servidores gerenciados específicos, conclua as etapas a seguir.
- No menu XClarity Administrator, clique em . A página Servidores é exibida com uma exibição tabular de todos os servidores gerenciados.
- Selecione um ou mais servidores.
- Configure o modo de segurança.
Clique em para exibir a caixa de diálogo Definir modo de segurança do sistema.
A caixa de diálogo lista o número de servidores que podem ser definidos em cada modo. Passe o cursor sobre cada número para exibir uma caixa popup com uma lista de nomes de servidor aplicáveis.
Selecione o modo de segurança. Este pode ser um dos valores a seguir.
Segurança de compatibilidade. Selecione esse modo quando serviços e clientes requerem criptografia que não seja compatível com CNSA/FIPS. Este modo é compatível com uma ampla gama de algoritmos criptográficos e permite que todos os serviços sejam habilitados.
NIST SP 800-131A. Selecione esse modo para garantir a conformidade com o padrão NIST SP 800-131A. Isso inclui a restrição de chaves RSA a 2048 bits ou mais, a restrição de hashes usados para assinaturas digitais para SHA-256 ou mais e a garantia de que somente os algoritmos de criptografia simétricos aprovados pelo NIST sejam usados. Este modo requer a configuração do modo SSL/TLS como TLS 1.2 Server Client.
Este modo tem suporte para servidores ThinkSystem V1 e V2.
Segurança padrão. Este é o modo de segurança padrão para servidores ThinkSystem V3 e V4. Selecione esse modo para garantir a conformidade com o padrão FIPS 140-3. Para que o XCC opere no modo validado FIPS 140-3, apenas serviços compatíveis com a criptografia de nível FIPS 140-3 podem ser habilitados. Os serviços não compatíveis com a criptografia de nível FIPS 140-2/140-3 são desativados por padrão, mas podem ser habilitados se necessário. Se qualquer serviço que usa criptografia de nível 140-3 não FIPS estiver habilitado, o XCC não poderá operar no modo validado fips 140-3. Esse modo requer certificados em nível de FIPs.
Segurança corporativa estrita. Este é o modo mais seguro para servidores ThinkSystem V3 e V4. Selecione esse modo para garantir a conformidade com o padrão CNSA. Somente serviços compatíveis com a criptografia de nível CNSA são permitidos. Os serviços não seguros são desabilitados por padrão e não podem ser habilitados. Esse modo requer certificados em nível de CNSA.
O XClarity Administrator usa assinaturas de certificado RSA 3072 bits/SHA-384 para servidores no modo Segurança corporativa estrita.
A chave XCC Feature On Demand deve ser instalada em cada um dos Servidores ThinkSystem V3 e V4 (com XCC2 ou XCC3) selecionados para usar esse modo.
Nesse modo, se o XClarity Administrator usar certificado autoassinado, o XClarity Administrator deverá usar o certificado raiz RSA 3072 bits /SHA-384 e o certificado do servidor. Se o XClarity Administrator usar um certificado assinado externo, o XClarity Administrator deverá gerar uma CSR baseada em RSA 3072 bits/SHA-384 e entrar em contato com a CA externa para assinar um novo certificado de servidor baseado em RSA 3072 bits/SHA-384.
Quando o XClarity Administrator usar um certificado baseado em RSA 3072 bits/SHA-384, o XClarity Administrator poderá desconectar dispositivos que não sejam o chassi do Flex System (CMMS) e servidores, servidores ThinkSystem, servidores ThinkServer, servidores System x M4 e M5, comutadores Lenovo ThinkSystem Série DB, Lenovo RackSwitch, comutadores Flex System, comutadores Mellanox, dispositivos de armazenamento ThinkSystem DE/DM, armazenamento da biblioteca de fita IBM e servidores ThinkSystem SR635/SR655 em flash com firmware anterior a 22C. Para continuar gerenciando os dispositivos desconectados, configure outra instância do XClarity Administrator com um certificado baseado em 2048 bits/SHA-256.
Alta segurança. Este é o modo mais seguro para servidores ThinkSystem V1 e V2. Selecione esse modo para garantir a conformidade com os padrões NIST e PFS (Perfect Forward Secrecy).
Este modo é suportado apenas para servidores ThinkSystem V1 e V2. A versão de firmware do XCC lançada durante o segundo trimestre de 2023 ou posterior é necessária.
Clique em Aplicar.
- Configure a versão mínima do TLS.
Clique em para exibir a caixa de diálogo Definir versão de TLS do sistema.
Selecione a versão mínima do protocolo TLS a ser usada para conexões de cliente a outros servidores (como as conexões de cliente LDAP a um servidor LDAP). O valor é configurado em dispositivos selecionados compatíveis com essa configuração. É possível escolher a opção a seguir.
- TLS1.2. Impõe os protocolos de criptografia TLS v1.2.
- TLS1.3. Impõe os protocolos de criptografia TLS v1.3.
Os dispositivos System x e CMM são compatíveis apenas com TLS v1.2.
Clique em Aplicar.