Перейти к основному содержимому

Настройка параметров криптографии на сервере управления

Для сервера управления можно настроить параметры версии и шифра SSL/TLS.

Перед началом работы

Прежде чем изменять параметры на сервере управления, ознакомьтесь с замечаниями по криптографии (см. раздел Криптографическое управление).

Об этой задаче

Криптографический режим определяет способ обработки защищенного обмена данными между XClarity Administrator и всеми управляемыми системами. Этим режимом определяется длина ключей шифрования, которые должны использоваться при применении защищенного обмена данными.

Прим.
Независимо от выбранного режима криптографии всегда используются генераторы случайных двоичных последовательностей, утвержденные институтом NIST, и для симметричного шифрования применяются только 128-разрядные или более длинные ключи.

Если нужно изменить параметры безопасности для управляемых устройств, см. раздел Настройка параметров безопасности для управляемого сервера.

Процедура

Для изменения параметров криптографии на сервере управления выполните указанные ниже действия.

  1. В строке меню XClarity Administrator выберите Администрирование > Безопасность.
  2. Выберите один из следующих криптографических режимов для обеспечения безопасного обмена данными:
    • Совместимость. Это режим по умолчанию. Он совместим со старыми версиями микропрограмм, браузерами и другими сетевыми клиентами, в которых не реализованы строгие стандарты безопасности, необходимые для обеспечения соответствия NIST SP 800-131A.

    • NIST SP 800-131A. Этот режим соответствует стандарту NIST SP 800-131A. XClarity Administrator разработан так, чтобы всегда использовать стойкую криптографию внутри системы и, если это возможно, защищенные стойкой криптографией сетевые подключения. Однако в этом режиме не допускаются сетевые подключения, использующие криптографию, не одобренную NIST SP 800-131A, включая отклонение сертификатов TLS, подписанных SHA-1 или более слабым хэшем.

      Если выбран этот режим:

      • Для всех портов, кроме порта 8443, все шифры TLS CBC и все шифры, не поддерживающие полную безопасность пересылки (Perfect Forward Secrecy), отключены.

      • Push-уведомления о событиях могут не проходить успешно на некоторые подписки мобильных устройств (см. Перенаправление событий для мобильных устройств). Внешние сервисы, такие как Android и iOS, предоставляют сертификаты, подписанные SHA-1: алгоритмом, не соответствующим более строгим требованиям режима NIST SP 800-131А. В результате любые подключения к этим службам могут завершиться ошибкой, связанной с исключением сертификата или сбоем квитирования.

      Дополнительные сведения о соответствии NIST SP 800-131A см. в разделе Обеспечение соответствия NIST SP 800-131A.
  3. Выберите минимальную версию протокола TLS, которая должна использоваться для клиентских подключений к другим серверам (например, к серверу LDAP). Можно выбрать один из указанных ниже вариантов.
    • TLS1.2. Активирует использование протоколов шифрования TLS версии 1.2.
    • TLS1.3. Активирует использование протоколов шифрования TLS версии 1.3.
  4. Выберите минимальную версию протокола TLS для серверных подключений (таким как веб-сервер). Можно выбрать один из указанных ниже вариантов.
    • TLS1.2. Активирует использование протоколов шифрования TLS версии 1.2.
    • TLS1.3. Активирует использование протоколов шифрования TLS версии 1.3.
  5. Выберите минимальную версию протокола TLS для использования в развертывании операционной системы и обновлениях драйверов устройств ОС XClarity Administrator. Можно выбрать один из указанных ниже вариантов.
    • TLS1.2. Активирует использование протоколов шифрования TLS версии 1.2.
    • TLS1.3. Активирует использование протоколов шифрования TLS версии 1.3.
    Прим.
    С помощью XClarity Administrator можно развертывать и обновлять только операционные системы, процесс установки которых поддерживает выбранный криптографический алгоритм (или стойкий...).
  6. Выберите длину криптографического ключа и алгоритм хэширования, которые будут использоваться для всех частей сертификата, включая корневой сертификат ЦС, сертификат сервера и запрос на подпись сертификата (CSR) для сертификатов с внешней подписью.

    • RSA 2048-разр./SHA-256 (по умолчанию)

      Этот режим можно использовать, если управляемые устройства находятся в одном из следующих режимов безопасности: «Совместимость», NIST SP 800-131A или «Стандартная безопасность». Этот режим нельзя использовать, если одно или несколько управляемых устройств находятся в режиме Режим безопасности «Корпоративный строгий».

    • RSA 3072-разр./SHA-384

      Этот режим необходимо использовать, если управляемые устройства находятся в режиме Режим безопасности «Корпоративный строгий».

      Важное замечание
      Подписи сертификатов RSA-3072/SHA-384 поддерживаются только серверами с XCC2. После настройки XClarity Administrator с сертификатом на основе RSA-3072/SHA-384 устройства, не являющиеся устройствами XCC2, будут неуправляемыми. Для управления устройствами, которые не являются устройствами XCC2, требуется отдельный экземпляр XClarity Administrator.
  7. Нажмите Применить.
  8. Перезагрузите XClarity Administrator (см. раздел Перезапуск XClarity Administrator).
  9. Если вы изменили длину криптографического ключа, повторно создайте корневой сертификат центра сертификации, используя правильные длину ключа и алгоритм хэширования (см. раздел Повторное создание или восстановление самозаверяющего сертификата сервера Lenovo XClarity Administrator или Развертывание настраиваемых сертификатов сервера в Lenovo XClarity Administrator).

После завершения

Если выдается оповещение о том, что сертификат сервера является ненадежным для управляемого устройства, обратитесь к разделу Разрешение ненадежного сертификата сервера .