É possível configurar a versão SSL/TLS e a configuração de criptografia para servidores gerenciados.
Sobre esta tarefa
Considere as seguintes implicações de alterar o modo criptográfico.
A alteração do modo Segurança de compatibilidade ou Segurança padrão para Segurança corporativa estrita não é compatível.
Se você atualizar do Segurança de compatibilidade para o modo Segurança padrão, será advertido se certificados importados ou chaves públicas SSH não forem compatíveis, mas você ainda poderá fazer a atualização para o modo Segurança padrão.
Se você fizer downgrade do modo Segurança corporativa estrita para Segurança de compatibilidade ou Segurança padrão:
O servidor é reiniciado automaticamente para que o modo de segurança entre em vigor.
Se a chave FoD do modo estrito estiver ausente ou expirada no XCC2, e se o XCC2 usar um certificado TLS autoassinado, o XCC2 gerará novamente o certificado TLS autoassinado com base no algoritmo compatível com Estrito padrão. O XClarity Administrator mostra uma falha de conexão devido a um erro de certificado. Para resolver o erro de certificado não confiável, consulte Resolvendo um certificado de servidor não confiável. Se o XCC2 usar um certificado TLS personalizado, o XCC2 permitirá o downgrade e avisará que você precisa importar um certificado do servidor baseado na criptografia do modo Segurança padrão.
O modo NIST SP 800-131A compatível com servidores com XCC2.
O XClarity Administrator é definido como TLS v1.2 e se um servidor gerenciado que usa autenticação gerenciada tiver um modo de segurança definido como TLS v1.2, alterar o modo de segurança do servidor para TLS v1.3 usando XClarity Administrator ou XCC fará com que o servidor seja permanentemente offline.
Se o modo criptográfico para XClarity Administrator for definido como TLS v1.2 e você tentar gerenciar um servidor com XCC que tenha seu modo de segurança definido como TLS v1.3, o servidor não poderá ser gerenciado usando autenticação gerenciada.
É possível alterar as configurações de segurança dos dispositivos a seguir.
Servidores Lenovo ThinkSystem com processadores Intel ou AMD (exceto SR635/SR655)
Servidores Lenovo ThinkSystem V2
Servidores Lenovo ThinkSystem V3 com processadores Intel ou AMD
Servidores Lenovo ThinkEdge SE350/SE450
Servidores Lenovo System x
Procedimento
Para alterar as configurações de segurança de servidores gerenciados específicos, conclua as etapas a seguir.
- No menu XClarity Administrator, clique em . A página Servidores é exibida com uma exibição tabular de todos os servidores gerenciados.
- Selecione um ou mais servidores.
- Configure o modo de segurança.
Clique em para exibir a caixa de diálogo Definir modo de segurança do sistema.
A caixa de diálogo lista o número de servidores que podem ser definidos em cada modo. Passe o cursor sobre cada número para exibir uma caixa popup com uma lista de nomes de servidor aplicáveis.
Selecione o modo de segurança. Este pode ser um dos valores a seguir.
Segurança de compatibilidade. Selecione esse modo quando serviços e clientes requerem criptografia que não seja compatível com CNSA/FIPS. Este modo é compatível com uma ampla gama de algoritmos criptográficos e permite que todos os serviços sejam habilitados.
NIST SP 800-131A. Selecione esse modo para garantir a conformidade com o padrão NIST SP 800-131A. Isso inclui a restrição de chaves RSA a 2048 bits ou mais, a restrição de hashes usados para assinaturas digitais para SHA-256 ou mais e a garantia de que somente os algoritmos de criptografia simétricos aprovados pelo NIST sejam usados. Este modo requer a configuração do modo SSL/TLS como TLS 1.2 Server Client.
Esse modo não é compatível com servidores com XCC2.
Segurança padrão. (Apenas servidores com XCC2) Este é o modo de segurança padrão para servidores com XCC2. Selecione esse modo para garantir a conformidade com o padrão FIPS 140-3. Para que o XCC opere no modo validado FIPS 140-3, apenas serviços compatíveis com a criptografia de nível FIPS 140-3 podem ser habilitados. Os serviços não compatíveis com a criptografia de nível FIPS 140-2/140-3 são desativados por padrão, mas podem ser habilitados se necessário. Se qualquer serviço que usa criptografia de nível 140-3 não FIPS estiver habilitado, o XCC não poderá operar no modo validado fips 140-3. Esse modo requer certificados em nível de FIPs.
Segurança corporativa estrita. (Apenas servidores com XCC2) Este é o modo mais seguro. Selecione esse modo para garantir a conformidade com o padrão CNSA. Somente serviços compatíveis com a criptografia de nível CNSA são permitidos. Os serviços não seguros são desabilitados por padrão e não podem ser habilitados. Esse modo requer certificados em nível de CNSA.
O XClarity Administrator usa assinaturas de certificado RSA-3072/SHA-384 para servidores no modo Segurança corporativa estrita.
A chave XCC2 Feature On Demand deve ser instalada em cada um dos servidores com XCC2 selecionados para usar esse modo.
Nesse modo, se o XClarity Administrator usar certificado autoassinado, o XClarity Administrator deverá usar o certificado raiz e o certificado do servidor baseado em RSA3072/SHA384. Se o XClarity Administrator usar um certificado assinado externo, o XClarity Administrator deverá gerar uma CSR baseada em RSA3072/SHA384 e entrar em contato com a CA externa para assinar um novo certificado de servidor baseado em RSA3072/SHA384.
Quando o XClarity Administrator usar um certificado baseado em RSA3072/SHA384, o XClarity Administrator poderá desconectar dispositivos que não sejam o chassi do Flex System (CMMS) e servidores, servidores ThinkSystem, servidores ThinkServer, servidores System x M4 e M5, comutadores Lenovo ThinkSystem Série DB, Lenovo RackSwitch, comutadores Flex System, comutadores Mellanox, dispositivos de armazenamento ThinkSystem DE/DM, armazenamento da biblioteca de fita IBM e servidores ThinkSystem SR635/SR655 em flash com firmware anterior a 22C. Para continuar a gerenciar os dispositivos desconectados, configure outra instância do XClarity Administrator com um certificado baseado em RSA2048/SHA384.
Clique em Aplicar.
- Configure a versão mínima do TLS.
Clique em para exibir a caixa de diálogo Definir versão de TLS do sistema.
Selecione a versão mínima do protocolo TLS a ser usada para conexões de cliente a outros servidores (como as conexões de cliente LDAP a um servidor LDAP). O valor é configurado em dispositivos selecionados compatíveis com essa configuração. É possível escolher a opção a seguir.
- TLS1.2. Impõe os protocolos de criptografia TLS v1.2.
- TLS1.3. Impõe os protocolos de criptografia TLS v1.3.
Os dispositivos System x e CMM são compatíveis apenas com TLS v1.2.
Clique em Aplicar.