Перейти к основному содержимому

Настройка параметров безопасности для управляемого сервера

Для управляемых серверов можно настроить параметры версии и шифра SSL/TLS.

Об этой задаче

Необходимо иметь в виду следующие последствия изменения криптографического режима.
  • Переход из режима Безопасность с совместимостью или Стандартная безопасность в режим Режим безопасности «Корпоративный строгий» не поддерживается.

  • Если при переходе из режима Безопасность с совместимостью в режим Стандартная безопасность (повышение режима безопасности) выясняется, что импортированные сертификаты или открытые ключи SSH не соответствуют требованиям, отображается соответствующее предупреждение, однако переход в режим Стандартная безопасность все равно возможен.

  • При переходе из режима Режим безопасности «Корпоративный строгий» в режим Безопасность с совместимостью или Стандартная безопасность (понижение режима безопасности):

    • Сервер автоматически перезапускается, чтобы режим безопасности вступил в силу.

    • Если в XCC2 истек срок действия ключа FoD строгого режима или этот ключ отсутствует и если XCC2 использует самозаверяющий сертификат TLS, XCC2 повторно создает самозаверяющий сертификат TLS на основе алгоритма, соответствующего режиму «Стандартный-строгий». XClarity Administrator сообщает о сбое подключения из-за ошибки сертификата. Сведения об устранении ошибки недоверенного сертификата см. в разделе Разрешение ненадежного сертификата сервера. Если в XCC2 используется пользовательский сертификат TLS, XCC2 допускает понижение режима и предупреждает о необходимости импортировать сертификат сервера, основанный на криптографии режима Стандартная безопасность.

  • Режим NIST SP 800-131A не поддерживается для серверов с XCC2.
  • Невозможно использовать управляемую аутентификацию для управления сервером ThinkSystem или ThinkAgile, если режим безопасности XCC имеет значение TLS v1.3.
  • В случае сервера ThinkSystem или ThinkAgile, управление которым осуществляется с помощью управляемой аутентификации, изменение режима безопасности XCC на TLS v1.3 с помощью XClarity Administrator или XCC приведет к переходу сервера в автономный режим.
Параметры безопасности можно изменить для указанных ниже устройств.
  • Серверы Lenovo ThinkSystem с процессорами Intel или AMD (кроме SR635/SR655)
  • Серверы Lenovo ThinkSystem версии 2
  • Серверы Lenovo ThinkSystem версии 3 с процессорами Intel или AMD
  • Серверы Lenovo ThinkEdge SE350/SE450
  • Серверы Lenovo System x

Процедура

Чтобы изменить параметры безопасности для конкретных управляемых серверов, выполните указанные ниже действия.

  1. В меню XClarity Administrator нажмите Оборудование > Серверы. Откроется страница Серверы с табличным представлением всех управляемых серверов.
  2. Выберите один или несколько серверов.
  3. Настройте режим безопасности.
    1. Нажмите Все действия > Безопасность > Задать режим безопасности системы. В результате отобразится диалоговое окно Задать режим безопасности системы.

      В диалоговом окне будет указано, какое количество серверов может быть настроено для каждого режима. Если навести курсор на число, всплывет окно со списком применимых имен серверов.

    2. Выберите режим безопасности. Может иметь одно из следующих значений.

      • Безопасность с совместимостью. Выберите этот режим, если необходимая для служб и клиентов криптография не должна соответствовать требованиям стандартов CNSA/FIPS. В этом режиме поддерживается широкий спектр алгоритмов криптографии и могут быть включены все службы.

      • NIST SP 800-131A. Выберите этот режим для обеспечения соответствия стандарту NIST SP 800-131A. Это подразумевает использование ключей RSA с разрядностью не менее 2048 бит, использование для цифровых подписей хэшей SHA-256 или большей длины и гарантированное использование только алгоритмов симметричного шифрования, одобренных NIST. В этом режиме в качестве режима SSL/TLS должен быть выбран режим Сервер-клиент TLS 1.2.

        Этот режим не поддерживается для серверов с XCC2.

      • Стандартная безопасность (только для серверов с XCC2). Это режим безопасности по умолчанию для серверы с XCC2. Выберите этот режим, если нужно обеспечить соответствие стандарту FIPS 140-3. Для работы XCC в режиме подтвержденного соответствия FIPS 140-3 можно включить только службы, которые поддерживают криптографию уровня FIPS 140–3. Службы, не поддерживающее криптографию на уровне FIPS 140-2/140-3, по умолчанию отключены, но при необходимости могут быть включены. В случае включения какой-либо службы, использующей криптографию, которая не соответствует уровню FIPS 140-3, XCC не может работать в режиме подтвержденного соответствия FIPS 140-3. Этот режим требует наличия сертификатов уровня FIPs.

      • Режим безопасности «Корпоративный строгий» (только для серверы с XCC2). Это наиболее безопасный режим. Выберите этот режим, если требуется обеспечить соответствие стандарту CNSA. В этом режиме разрешены только службы, которые поддерживают криптографию уровня CNSA. Небезопасные службы по умолчанию отключены и не могут быть включены. Этот режим требует наличия сертификатов уровня CNSA.

        В режиме Режим безопасности «Корпоративный строгий» XClarity Administrator использует сертификат RSA-3072/SHA-384.

        Важное замечание
        • Для использования этого режима на каждом выбранном серверы с XCC2 должен быть установлен ключ Feature On Demand XCC2.

        • Если в этом режиме XClarity Administrator использует самозаверяющий сертификат, XClarity Administrator должен использовать корневой сертификат и сертификат сервера на основе RSA3072/SHA384. Если XClarity Administrator использует внешний подписанный сертификат, XClarity Administrator должен создать запрос на подпись сертификата на основе RSA3072/SHA384 и связаться с внешним ЦС для подписания нового сертификата сервера на основе RSA3072/SHA384.

        • Если XClarity Administrator использует сертификат на основе RSA3072/SHA384, XClarity Administrator может отключать устройства, если это не следующие устройства: рамы (CMMS) и серверы Flex System, серверы ThinkSystem, серверы ThinkServer, серверы System x M4 и M5, коммутаторы серии Lenovo ThinkSystem DB, Lenovo RackSwitch, коммутаторы Flex System, коммутаторы Mellanox, устройства хранения данных ThinkSystem DE/DM, хранилище на основе ленточной библиотеки IBM и серверы ThinkSystem SR635/SR655 с микропрограммой более ранней версии, чем 22C. Чтобы продолжить управление отключенными устройствами, установите еще один экземпляр XClarity Administrator с сертификатом на основе RSA2048/SHA384.

    3. Нажмите Применить.

  4. Задайте минимальную версию TLS.
    1. Нажмите Все действия > Безопасность > Задать версию TLS системы. В результате откроется диалоговое окно Задать версию TLS системы.

    2. Выберите минимальную версию протокола TLS, которая должна использоваться для клиентских подключений к другим серверам (например, для подключения клиента LDAP к серверу LDAP). Это значение будет настроено на выбранных устройствах, которые поддерживают данный параметр. Можно выбрать один из указанных ниже вариантов.

      • TLS1.2. Активирует использование протоколов шифрования TLS версии 1.2.
      • TLS1.3. Активирует использование протоколов шифрования TLS версии 1.3.
      Прим.
      Устройства System x и CMM поддерживают только TLS версии 1.2.
    3. Нажмите Применить.