การกําหนดค่าการตั้งค่าการเข้ารหัสบนเซิร์ฟเวอร์การจัดการ

คุณสามารถกําหนดค่าเวอร์ชันของ SSL/TLS และการตั้งค่าการเข้ารหัสของเซิร์ฟเวอร์การจัดการ

ขั้นตอน

ในการเปลี่ยนการตั้งค่าการเข้ารหัสบนเซิร์ฟเวอร์การจัดการ ให้ดำเนินการขั้นตอนต่อไปนี้

1. จากแถบเมนู XClarity Administrator ให้คลิก การดูแลระบบ > การรักษาความปลอดภัย
2. เลือกโหมดการเข้ารหัสโหมดใดโหมดหนึ่งที่จะใช้สำหรับการสื่อสารที่ปลอดภัย:
   • ความเข้ากันได้ของ นี่คือโหมดเริ่มต้น โหมดนี้เข้ากันได้กับเฟิร์มแวร์เวอร์ชันที่เก่ากว่า เบราเซอร์ และไคลเอ็นต์เครือข่ายอื่นๆ ที่ไม่ได้ใช้งานมาตรฐานการรักษาความปลอดภัยที่เข้มงวด ซึ่งจำเป็นเพื่อให้สอดคล้องตาม NIST SP 800-131A

   • NIST SP 800-131A โหมดนี้ได้รับการออกแบบมาเพื่อให้สอดคล้องตามมาตรฐาน NIST SP 800-131A XClarity Administrator ได้รับการออกแบบมาให้ใช้การเข้ารหัสที่ปลอดภัยภายในระบบและที่ที่สามารถใช้ได้เสมอ เพื่อใช้การเชื่อมต่อเครือข่ายการเข้ารหัสที่ปลอดภัย อย่างไรก็ตาม ในโหมดนี้ ไม่อนุญาตให้มีการเชื่อมต่อเครือข่ายที่ใช้การเข้าหรัสที่ไม่ได้รับการอนุมัติโดย NIST SP 800-131A รวมถึงการปฏิเสธใบรับรอง Transport Layer Security (TLS) ที่ได้รับการลงนามด้วย SHA-1 หรือแฮชที่ประสิทธิภาพน้อยกว่า

     หากคุณเลือกโหมดนี้:

     • สำหรับพอร์ตทั้งหมดนอกเหนือจากพอร์ต 8443 การเข้ารหัส TLS CBC ทั้งหมดและการเข้ารหัสทั้งหมดที่ไม่รองรับ Perfect Forward Secrecy จะถูกปิดใช้งาน

     • ระบบอาจพุชการแจ้งเตือนเหตุการณ์ไปยังการสมัครรับข้อมูลอุปกรณ์เคลื่อนที่บางรายการไม่สำเร็จ (โปรดดู การส่งต่อเหตุการณ์ไปยังอุปกรณ์เคลื่อนที่) บริการภายนอก เช่น Android และ iOS จะแสดงใบรับรองที่ได้รับการลงนามด้วย SHA-1 ซึ่งเป็นอัลกอริทึมที่ไม่สอดคล้องตามข้อกำหนดของโหมด NIST SP 800-131A ที่เข้มงวดกว่า ดังนั้น การเชื่อมต่อไปยังบริการเหล่านี้อาจล้มเหลวเนื่องจากการยกเว้นด้านใบรับรองหรือความล้มเหลวของแฮนด์เชค

     สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการปฏิบัติตาม NIST SP 800-131A โปรดดู การนำการปฏิบัติตามข้อบังคับสำหรับ NIST SP 800-131A มาใช้งาน
3. เลือกเวอร์ชันโปรโตคอล TLS ขั้นต่ำที่จะใช้สำหรับการเชื่อมต่อไคลเอ็นต์กับเซิร์ฟเวอร์อื่นๆ (เช่น เซิร์ฟเวอร์ LDAP) คุณสามารถเลือกตัวเลือกต่อไปนี้
   • TLS1.2 บังคับใช้โปรโตคอลการเข้ารหัส TLS v1.2
   • TLS1.3 บังคับใช้โปรโตคอลการเข้ารหัส TLS v1.3
4. เลือกเวอร์ชันโปรโตคอล TLS ขั้นต่ำที่จะใช้สำหรับการเชื่อมต่อเซิร์ฟเวอร์ (เช่น เว็บเซิร์ฟเวอร์) คุณสามารถเลือกตัวเลือกต่อไปนี้
   • TLS1.2 บังคับใช้โปรโตคอลการเข้ารหัส TLS v1.2
   • TLS1.3 บังคับใช้โปรโตคอลการเข้ารหัส TLS v1.3
5. เลือกเวอร์ชันโปรโตคอล TLS ขั้นต่ำที่จะใช้สำหรับเซิร์ฟเวอร์การปรับใช้ระบบปฏิบัติการและการอัปเดตไดรเวอร์ OS XClarity Administrator คุณสามารถเลือกตัวเลือกต่อไปนี้
   • TLS1.2 บังคับใช้โปรโตคอลการเข้ารหัส TLS v1.2
   • TLS1.3 บังคับใช้โปรโตคอลการเข้ารหัส TLS v1.3

   หมายเหตุ

   เฉพาะระบบปฏิบัติการที่มีกระบวนการติดตั้งที่รองรับอัลกอริทึมการเข้ารหัสที่เลือกหรือที่ปลอดภัยเท่านั้นที่สามารถปรับใช้และอัปเดตผ่านทาง XClarity Administrator ได้
6. เลือกความยาวของคีย์การเข้ารหัสและอัลกอริธึมแฮชที่จะใช้กับทุกส่วนของใบรับรอง รวมถึงใบรับรองระดับสูงโดย CA, ใบรับรองเซิร์ฟเวอร์ และ CSR สำหรับใบรับรองที่ลงนามภายนอก

   • RSA 2048-bit / SHA-256 (ค่าเริ่มต้น)

     โหมดนี้สามารถใช้เมื่ออุปกรณ์ที่มีการจัดการอยู่ในโหมดความเข้ากันได้, NIST SP 800-131A หรือโหมดการรักษาความปลอดภัยมาตรฐาน ใช้โหมดนี้ไม่ได้เมื่ออุปกรณ์ที่มีการจัดการอย่างน้อยหนึ่งรายการอยู่ในโหมด การรักษาความปลอดภัยที่รัดกุมสำหรับองค์กร

   • RSA 3072-bit / SHA-384

     โหมดนี้จะต้องใช้เมื่ออุปกรณ์ที่มีการจัดการซึ่งอยู่ในโหมด การรักษาความปลอดภัยที่รัดกุมสำหรับองค์กร

     สำคัญ

     เฉพาะเซิร์ฟเวอร์ที่มี XCC2 เท่านั้นที่รองรับลายเซ็นใบรับรอง RSA-3072/SHA-384 หลังจากกําหนดค่า XClarity Administrator ด้วยใบรับรองที่ใช้ RSA-3072/SHA-384 อุปกรณ์ที่ไม่ใช่ XCC2 จะถูกถอนการจัดการ ในการจัดการอุปกรณ์ที่ไม่ใช่ XCC2 คุณต้องมีอินสแตนซ์ XClarity Administrator แยกต่างหาก
7. คลิก ใช้
8. รีสตาร์ท XClarity Administrator (โปรดดู การรีสตาร์ท XClarity Administrator)
9. หากคุณเปลี่ยนความยาวของคีย์การเข้ารหัส ให้สร้างใบรับรองระดับสูงโดยผู้ให้บริการออกใบรับรองใหม่โดยใช้ความยาวคีย์และอัลกอริทึมแฮชที่ถูกต้อง (ดู การคืนค่าหรือสร้างใบรับรองเซิร์ฟเวอร์ที่ลงนามด้วยตนเองของ Lenovo XClarity Administrator ใหม่ หรือ การปรับใช้ใบรับรองเซิร์ฟเวอร์ที่กำหนดเองกับ Lenovo XClarity Administrator)