Skip to main content

การจัดการการเข้ารหัส

การจัดการการเข้ารหัสประกอบด้วยโหมดการสื่อสารและโปรโตคอลที่ควบคุมวิธีในการควบคุมการสื่อสารที่ปลอดภัยระหว่าง Lenovo XClarity Administrator และอุปกรณ์ที่ได้รับการจัดการ (เช่น ตัวเครื่อง เซิร์ฟเวอร์ และสวิตช์ Flex)

อัลกอริทึมการเข้ารหัส

XClarity Administrator รองรับ TLS 1.2 และอัลกอริทึมการเข้ารหัสที่รัดกุมมากขึ้นสำหรับการเชื่อมต่อเครือข่ายที่ปลอดภัย

รองรับการเข้ารหัสที่มีความรัดกุมสูงเท่านั้น เพื่อการรักษาความปลอดภัยที่ดียิ่งขึ้น ระบบปฏิบัติการไคลเอ็นต์และเว็บเบราเซอร์ต้องรองรับชุดการเข้ารหัสชุดใดชุดหนึ่งต่อไปนี้

  • SSH-ED25519

  • SSH-ED25519-CERT-V01@OPENSSH.COM

  • ECDSA-SHA2-NISTP256

  • ECDSA-SHA2-NISTP256-CERT-V01@OPENSSH.COM

  • ECDSA-SHA2-NISTP384

  • ECDSA-SHA2-NISTP384-CERT-V01@OPENSSH.COM

  • ECDSA-SHA2-NISTP521

  • ECDSA-SHA2-NISTP521-CERT-V01@OPENSSH.COM

  • RSA-SHA2-512

  • RSA-SHA2-256

  • RSA-SHA2-384

โหมดการเข้ารหัสสำหรับเซิร์ฟเวอร์การจัดการ

การตั้งค่านี้จะกำหนดโหมดที่จะใช้สำหรับการสื่อสารที่มีความปลอดภัยจากเซิร์ฟเวอร์การจัดการ
  • ความเข้ากันได้ของ นี่คือโหมดเริ่มต้น โหมดนี้เข้ากันได้กับเฟิร์มแวร์เวอร์ชันที่เก่ากว่า เบราเซอร์ และไคลเอ็นต์เครือข่ายอื่นๆ ที่ไม่ได้ใช้งานมาตรฐานการรักษาความปลอดภัยที่เข้มงวด ซึ่งจำเป็นเพื่อให้สอดคล้องตาม NIST SP 800-131A

  • NIST SP 800-131A โหมดนี้ได้รับการออกแบบมาเพื่อให้สอดคล้องตามมาตรฐาน NIST SP 800-131A XClarity Administrator ได้รับการออกแบบมาให้ใช้การเข้ารหัสที่ปลอดภัยภายในระบบและที่ที่สามารถใช้ได้เสมอ เพื่อใช้การเชื่อมต่อเครือข่ายการเข้ารหัสที่ปลอดภัย อย่างไรก็ตาม ในโหมดนี้ ไม่อนุญาตให้มีการเชื่อมต่อเครือข่ายที่ใช้การเข้าหรัสที่ไม่ได้รับการอนุมัติโดย NIST SP 800-131A รวมถึงการปฏิเสธใบรับรอง Transport Layer Security (TLS) ที่ได้รับการลงนามด้วย SHA-1 หรือแฮชที่ประสิทธิภาพน้อยกว่า

    หากคุณเลือกโหมดนี้:

    • สำหรับพอร์ตทั้งหมดนอกเหนือจากพอร์ต 8443 การเข้ารหัส TLS CBC ทั้งหมดและการเข้ารหัสทั้งหมดที่ไม่รองรับ Perfect Forward Secrecy จะถูกปิดใช้งาน

    • ระบบอาจพุชการแจ้งเตือนเหตุการณ์ไปยังการสมัครรับข้อมูลอุปกรณ์เคลื่อนที่บางรายการไม่สำเร็จ (โปรดดู การส่งต่อเหตุการณ์ไปยังอุปกรณ์เคลื่อนที่) บริการภายนอก เช่น Android และ iOS จะแสดงใบรับรองที่ได้รับการลงนามด้วย SHA-1 ซึ่งเป็นอัลกอริทึมที่ไม่สอดคล้องตามข้อกำหนดของโหมด NIST SP 800-131A ที่เข้มงวดกว่า ดังนั้น การเชื่อมต่อไปยังบริการเหล่านี้อาจล้มเหลวเนื่องจากการยกเว้นด้านใบรับรองหรือความล้มเหลวของแฮนด์เชค

    สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการปฏิบัติตาม NIST SP 800-131A โปรดดู การนำการปฏิบัติตามข้อบังคับสำหรับ NIST SP 800-131A มาใช้งาน

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการตั้งค่าโหมดการรักษาความปลอดภัยบนเซิร์ฟเวอร์การจัดการ โปรดดู การกําหนดค่าการตั้งค่าการเข้ารหัสบนเซิร์ฟเวอร์การจัดการ

โหมดการรักษาความปลอดภัยสำหรับเซิร์ฟเวอร์ที่มีการจัดการ

การตั้งค่านี้จะกำหนดโหมดที่จะใช้สำหรับการสื่อสารที่มีความปลอดภัยจากเซิร์ฟเวอร์ที่มีการจัดการ

  • การรักษาความปลอดภัยแบบเข้ากันได้ เลือกโหมดนี้เมื่อบริการและไคลเอ็นต์ต้องการใช้การเข้ารหัสที่ไม่สอดคล้องตามมาตรฐาน CNSA/FIPS โหมดนี้รองรับอัลกอริทึมการเข้ารหัสที่หลากหลาย และอนุญาตให้มีการเปิดใช้งานบริการทั้งหมด

  • NIST SP 800-131A เลือกโหมดนี้เพื่อให้สอดคล้องตามมาตรฐาน NIST SP 800-131A ซึ่งรวมถึงการจำกัดคีย์ RSA ไว้ที่ 2048 บิตหรือมากกว่า การจำกัดแฮชที่ใช้สำหรับลายเซ็นดิจิตอลให้เป็น SHA-256 หรือยาวกว่า และใช้เฉพาะอัลกอริทึมการเข้ารหัสแบบสมมาตรที่ NIST รับรองเท่านั้น โหมดนี้กำหนดให้ตั้งค่าโหมด SSL/TLS เป็น TLS 1.2 Server Client

    โหมดนี้ยังไม่รองรับบนเซิร์ฟเวอร์ที่มี XCC2

  • การรักษาความปลอดภัยมาตรฐาน (เซิร์ฟเวอร์ที่มี XCC2 เท่านั้น) โหมดนี้เป็นโหมดการรักษาความปลอดภัยเริ่มต้นสำหรับ เซิร์ฟเวอร์ที่มี XCC2 เลือกโหมดนี้เพื่อให้สอดคล้องตามมาตรฐาน FIPS 140-3 เพื่อให้ XCC ดําเนินการในโหมดที่ผ่านมาตรฐาน FIPS 140-3 จะต้องเปิดใช้งานบริการที่รองรับการเข้ารหัสระดับ FIPS 140-3 เท่านั้น บริการที่ไม่รองรับการเข้ารหัสระดับ FIPS 140-2/140-3 ถูกปิดใช้งานตามค่าเริ่มต้น แต่สามารถเปิดใช้งานได้หากจำเป็นต้องใช้ หากมีการเปิดใช้งานบริการใดๆ ที่ใช้การเข้ารหัสที่ไม่ใช่ระดับ FIPS 140-3 XCC จะไม่สามารถดําเนินการในโหมดที่ผ่านมาตรฐาน FIPS 140-3 ได้ โหมดนี้ต้องใช้ใบรับรองระดับ FIP

  • การรักษาความปลอดภัยที่รัดกุมสำหรับองค์กร (เซิร์ฟเวอร์ที่มี XCC2 เท่านั้น) โหมดนี้เป็นโหมดที่ปลอดภัยที่สุด เลือกโหมดนี้เพื่อให้สอดคล้องตามมาตรฐาน CNSA อนุญาตเฉพาะบริการที่รองรับการเข้ารหัสระดับ CNSA เท่านั้น บริการที่ไม่ปลอดภัยจะถูกปิดใช้งานตามค่าเริ่มต้นและไม่สามารถเปิดใช้งานได้ โหมดนี้ต้องใช้ใบรับรองระดับ CNSA

    XClarity Administrator ใช้ลายเซ็นใบรับรอง RSA-3072/SHA-384 ในเซิร์ฟเวอร์ในโหมดการรักษาความปลอดภัยที่รัดกุมสำหรับองค์กร

    สำคัญ

    • ต้องติดตั้งคีย์คุณลักษณะตามต้องการของ XCC2 ในแต่ละ เซิร์ฟเวอร์ที่มี XCC2 ที่เลือกเพื่อใช้โหมดนี้

    • ในโหมดนี้ หาก XClarity Administrator ใช้ใบรับรองที่ลงนามด้วยตนเอง XClarity Administrator ต้องใช้ใบรับรองหลักและใบรับรองเซิร์ฟเวอร์ที่ใช้ RSA3072/SHA384 หาก XClarity Administrator ใช้ใบรับรองที่ลงนามภายนอก XClarity Administrator ต้องสร้าง CSR ที่ใช้ RSA3072/SHA384 based CSR และติดต่อภายนอกเพื่อลงนามใบรับรองเซิร์ฟเวอร์ใหม่ตาม RSA3072/SHA384

    • เมื่อ XClarity Administrator ใช้ใบรับรองที่ใช้ RSA3072/SHA384 XClarity Administrator อาจยกเลิกการเชื่อมต่ออุปกรณ์อื่นๆ นอกเหนือจากตัวเครื่อง Flex System (CMMS) และเซิร์ฟเวอร์, เซิร์ฟเวอร์ ThinkSystem, เซิร์ฟเวอร์ ThinkServer, เซิร์ฟเวอร์ System x M4 และ M5, สวิตช์ Lenovo ThinkSystem DB Series, Lenovo RackSwitch, สวิตช์ Flex System, สวิตช์ Mellanox, อุปกรณ์จัดเก็บ ThinkSystem DE/DM, ไลบรารีเทปเทป IBM และเซิร์ฟเวอร์ ThinkSystem SR635/SR655 ที่แฟลชด้วยเฟิร์มแวร์เวอร์ชันก่อน 22C หากต้องการจัดการอุปกรณ์ที่ถูกตัดการเชื่อมต่อต่อไป ให้ตั้งค่าอินสแตนซ์ XClarity Administrator อื่นด้วยใบรับรองที่ใช้ RSA2048/SHA384

พิจารณาความเกี่ยวข้องของการเปลี่ยนแปลงโหมดการเข้ารหัสต่อไปนี้

  • ไม่รองรับการเปลี่ยนจากโหมด การรักษาความปลอดภัยแบบเข้ากันได้ หรือโหมด การรักษาความปลอดภัยมาตรฐาน เป็นโหมด การรักษาความปลอดภัยที่รัดกุมสำหรับองค์กร

  • หากคุณอัปเกรดจากโหมด การรักษาความปลอดภัยแบบเข้ากันได้ เป็นโหมด การรักษาความปลอดภัยมาตรฐาน คุณจะได้รับการแจ้งเตือน หากใบรับรองที่นําเข้าหรือคีย์สาธารณะ SSH ไม่สอดคล้องตามมาตรฐาน แต่คุณยังคงสามารถอัปเกรดเป็นโหมด การรักษาความปลอดภัยมาตรฐาน ได้

  • หากคุณดาวน์เกรดจากโหมด การรักษาความปลอดภัยที่รัดกุมสำหรับองค์กร เป็นโหมด การรักษาความปลอดภัยแบบเข้ากันได้ หรือโหมด การรักษาความปลอดภัยมาตรฐาน:

    • เซิร์ฟเวอร์จะรีสตาร์ทโดยอัตโนมัติเพื่อให้โหมดการรักษาความปลอดภัยมีผล

    • หากคีย์ FoD โหมดรัดกุมขาดหายไปหรือหมดอายุใน XCC2 และหาก XCC2 ใช้ใบรับรอง TLS ที่ลงนามด้วยตนเอง XCC2 จะสร้างใบรับรอง TLS ที่ลงนามด้วยตนเองขึ้นมาใหม่โดยอ้างอิงจากอัลกอริทึมที่สอดคล้องตามมาตรฐานแบบรัดกุม XClarity Administrator แสดงความล้มเหลวในการเชื่อมต่อเนื่องจากข้อผิดพลาดของใบรับรอง ในการแก้ไขปัญหาข้อผิดพลาดของใบรับรองที่ไม่น่าเชื่อถือ โปรดดู การแก้ปัญหาใบรับรองเซิร์ฟเวอร์ที่ไม่น่าเชื่อถือ หาก XCC2 ใช้ใบรับรอง TLS ที่กำหนดเอง XCC2 จะอนุญาตให้ดาวน์เกรด และเตือนคุณว่าคุณต้องนําเข้าใบรับรองเซิร์ฟเวอร์ที่ใช้การเข้ารหัสโหมด การรักษาความปลอดภัยมาตรฐาน

  • โหมด NIST SP 800-131A ไม่รองรับบนเซิร์ฟเวอร์ที่มี XCC2
  • คุณไม่สามารถใช้ การตรวจสอบความถูกต้องที่ได้รับการจัดการ ในการจัดการเซิร์ฟเวอร์ ThinkSystem หรือ ThinkAgile เมื่อตั้งค่าโหมดการรักษาความปลอดภัยของ XCC เป็น TLS v1.3
  • สำหรับเซิร์ฟเวอร์ ThinkSystem หรือ ThinkAgile ที่ได้รับการจัดการโดยใช้ การตรวจสอบความถูกต้องที่ได้รับการจัดการ การเปลี่ยนโหมดการรักษาความปลอดภัยของ XCC เป็น TLS v1.3 โดยใช้ XClarity Administrator หรือ XCC จะทําให้เซิร์ฟเวอร์ออฟไลน์
คุณสามารถเปลี่ยนการตั้งค่าการรักษาความปลอดภัยของอุปกรณ์ต่อไปนี้ได้
  • เซิร์ฟเวอร์ Lenovo ThinkSystem ที่มีโปรเซสเซอร์ Intel หรือ AMD (ยกเว้น SR635 / SR655)
  • เซิร์ฟเวอร์ Lenovo ThinkSystem V2
  • เซิร์ฟเวอร์ Lenovo ThinkSystem V3 ที่มีโปรเซสเซอร์ Intel หรือ AMD
  • เซิร์ฟเวอร์ Lenovo ThinkEdge SE350 / SE450
  • เซิร์ฟเวอร์ Lenovo System x

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการตั้งค่าโหมดการรักษาความปลอดภัยบนเซิร์ฟเวอร์ที่มีการจัดการ โปรดดู การกําหนดค่าการตั้งค่าการรักษาความปลอดภัยสำหรับเซิร์ฟเวอร์ที่มีการจัดการ