คุณสามารถกําหนดค่าเวอร์ชันของ SSL/TLS และการตั้งค่าการเข้ารหัสของเซิร์ฟเวอร์ที่มีการจัดการ
เกี่ยวกับงานนี้
พิจารณาความเกี่ยวข้องของการเปลี่ยนแปลงโหมดการเข้ารหัสต่อไปนี้
ไม่รองรับการเปลี่ยนจากโหมด การรักษาความปลอดภัยแบบเข้ากันได้ หรือโหมด การรักษาความปลอดภัยมาตรฐาน เป็นโหมด การรักษาความปลอดภัยที่รัดกุมสำหรับองค์กร
หากคุณอัปเกรดจากโหมด การรักษาความปลอดภัยแบบเข้ากันได้ เป็นโหมด การรักษาความปลอดภัยมาตรฐาน คุณจะได้รับการแจ้งเตือน หากใบรับรองที่นําเข้าหรือคีย์สาธารณะ SSH ไม่สอดคล้องตามมาตรฐาน แต่คุณยังคงสามารถอัปเกรดเป็นโหมด การรักษาความปลอดภัยมาตรฐาน ได้
หากคุณดาวน์เกรดจากโหมด การรักษาความปลอดภัยที่รัดกุมสำหรับองค์กร เป็นโหมด การรักษาความปลอดภัยแบบเข้ากันได้ หรือโหมด การรักษาความปลอดภัยมาตรฐาน:
เซิร์ฟเวอร์จะรีสตาร์ทโดยอัตโนมัติเพื่อให้โหมดการรักษาความปลอดภัยมีผล
หากคีย์ FoD โหมดรัดกุมขาดหายไปหรือหมดอายุใน XCC2 และหาก XCC2 ใช้ใบรับรอง TLS ที่ลงนามด้วยตนเอง XCC2 จะสร้างใบรับรอง TLS ที่ลงนามด้วยตนเองขึ้นมาใหม่โดยอ้างอิงจากอัลกอริทึมที่สอดคล้องตามมาตรฐานแบบรัดกุม XClarity Administrator แสดงความล้มเหลวในการเชื่อมต่อเนื่องจากข้อผิดพลาดของใบรับรอง ในการแก้ไขปัญหาข้อผิดพลาดของใบรับรองที่ไม่น่าเชื่อถือ โปรดดู การแก้ปัญหาใบรับรองเซิร์ฟเวอร์ที่ไม่น่าเชื่อถือ หาก XCC2 ใช้ใบรับรอง TLS ที่กำหนดเอง XCC2 จะอนุญาตให้ดาวน์เกรด และเตือนคุณว่าคุณต้องนําเข้าใบรับรองเซิร์ฟเวอร์ที่ใช้การเข้ารหัสโหมด การรักษาความปลอดภัยมาตรฐาน
โหมด NIST SP 800-131A ไม่รองรับบนเซิร์ฟเวอร์ที่มี XCC2
หากมีการตั้งค่าโหมดการเข้ารหัสสำหรับ XClarity Administrator เป็น TLS v1.2 และหากเซิร์ฟเวอร์ที่มีการจัดการที่ใช้การตรวจสอบความถูกต้องที่ได้รับการจัดการมีการตั้งค่าโหมดการรักษาความปลอดภัยเป็น TLS v1.3 การเปลี่ยนโหมดการรักษาความปลอดภัยของเซิร์ฟเวอร์เป็น TLS v1.3 โดยใช้ XClarity Administrator หรือ XCC จะทําให้เซิร์ฟเวอร์ออฟไลน์แบบถาวร
หากมีการตั้งค่าโหมดการเข้ารหัสสำหรับ XClarity Administrator เป็น TLS v1.2 และคุณพยายามจัดการเซิร์ฟเวอร์ด้วย XCC ที่มีการตั้งค่าโหมดการรักษาความปลอดภัยเป็น TLS v1.3 คุณจะไม่สามารถจัดการเซิร์ฟเวอร์โดยใช้การตรวจสอบความถูกต้องที่ได้รับการจัดการได้
คุณสามารถเปลี่ยนการตั้งค่าการรักษาความปลอดภัยของอุปกรณ์ต่อไปนี้ได้
เซิร์ฟเวอร์ Lenovo ThinkSystem ที่มีโปรเซสเซอร์ Intel หรือ AMD (ยกเว้น SR635 / SR655)
เซิร์ฟเวอร์ Lenovo ThinkSystem V2
เซิร์ฟเวอร์ Lenovo ThinkSystem V3 ที่มีโปรเซสเซอร์ Intel หรือ AMD
เซิร์ฟเวอร์ Lenovo ThinkEdge SE350 / SE450
เซิร์ฟเวอร์ Lenovo System x
ขั้นตอน
ในการเปลี่ยนการตั้งค่าการรักษาความปลอดภัยของเซิร์ฟเวอร์ที่มีการจัดการบางรุ่น ให้ทำตามขั้นตอนต่อไปนี้
- จากเมนู XClarity Administrator ให้คลิก หน้า เซิร์ฟเวอร์ จะแสดงขึ้นในมุมมองแบบตารางที่ประกอบด้วยเซิร์ฟเวอร์ทั้งหมดที่ได้รับการจัดการ
- เลือกเซิร์ฟเวอร์อย่างน้อยหนึ่งเครื่อง
- กำหนดค่าโหมดการรักษาความปลอดภัย
คลิก เพื่อแสดงกล่องโต้ตอบ ตั้งค่าโหมดการรักษาความปลอดภัยของระบบ
กล่องโต้ตอบแสดงรายการจํานวนของเซิร์ฟเวอร์ที่สามารถตั้งค่าเป็นแต่ละโหมดได้ เลื่อนเคอร์เซอร์ไปเหนือแต่ละหมายเลขเพื่อแสดงป็อปอัพพร้อมรายการชื่อเซิร์ฟเวอร์ที่ใช้ได้
เลือกโหมดการรักษาความปลอดภัย ซึ่งสามารถเป็นค่าใดค่าหนึ่งต่อไปนี้
การรักษาความปลอดภัยแบบเข้ากันได้ เลือกโหมดนี้เมื่อบริการและไคลเอ็นต์ต้องการใช้การเข้ารหัสที่ไม่สอดคล้องตามมาตรฐาน CNSA/FIPS โหมดนี้รองรับอัลกอริทึมการเข้ารหัสที่หลากหลาย และอนุญาตให้มีการเปิดใช้งานบริการทั้งหมด
NIST SP 800-131A เลือกโหมดนี้เพื่อให้สอดคล้องตามมาตรฐาน NIST SP 800-131A ซึ่งรวมถึงการจำกัดคีย์ RSA ไว้ที่ 2048 บิตหรือมากกว่า การจำกัดแฮชที่ใช้สำหรับลายเซ็นดิจิตอลให้เป็น SHA-256 หรือยาวกว่า และใช้เฉพาะอัลกอริทึมการเข้ารหัสแบบสมมาตรที่ NIST รับรองเท่านั้น โหมดนี้กำหนดให้ตั้งค่าโหมด SSL/TLS เป็น TLS 1.2 Server Client
โหมดนี้ยังไม่รองรับบนเซิร์ฟเวอร์ที่มี XCC2
การรักษาความปลอดภัยมาตรฐาน (เซิร์ฟเวอร์ที่มี XCC2 เท่านั้น) โหมดนี้เป็นโหมดการรักษาความปลอดภัยเริ่มต้นสำหรับ เซิร์ฟเวอร์ที่มี XCC2 เลือกโหมดนี้เพื่อให้สอดคล้องตามมาตรฐาน FIPS 140-3 เพื่อให้ XCC ดําเนินการในโหมดที่ผ่านมาตรฐาน FIPS 140-3 จะต้องเปิดใช้งานบริการที่รองรับการเข้ารหัสระดับ FIPS 140-3 เท่านั้น บริการที่ไม่รองรับการเข้ารหัสระดับ FIPS 140-2/140-3 ถูกปิดใช้งานตามค่าเริ่มต้น แต่สามารถเปิดใช้งานได้หากจำเป็นต้องใช้ หากมีการเปิดใช้งานบริการใดๆ ที่ใช้การเข้ารหัสที่ไม่ใช่ระดับ FIPS 140-3 XCC จะไม่สามารถดําเนินการในโหมดที่ผ่านมาตรฐาน FIPS 140-3 ได้ โหมดนี้ต้องใช้ใบรับรองระดับ FIP
การรักษาความปลอดภัยที่รัดกุมสำหรับองค์กร (เซิร์ฟเวอร์ที่มี XCC2 เท่านั้น) โหมดนี้เป็นโหมดที่ปลอดภัยที่สุด เลือกโหมดนี้เพื่อให้สอดคล้องตามมาตรฐาน CNSA อนุญาตเฉพาะบริการที่รองรับการเข้ารหัสระดับ CNSA เท่านั้น บริการที่ไม่ปลอดภัยจะถูกปิดใช้งานตามค่าเริ่มต้นและไม่สามารถเปิดใช้งานได้ โหมดนี้ต้องใช้ใบรับรองระดับ CNSA
XClarity Administrator ใช้ลายเซ็นใบรับรอง RSA-3072/SHA-384 ในเซิร์ฟเวอร์ในโหมดการรักษาความปลอดภัยที่รัดกุมสำหรับองค์กร
ต้องติดตั้งคีย์คุณลักษณะตามต้องการของ XCC2 ในแต่ละ เซิร์ฟเวอร์ที่มี XCC2 ที่เลือกเพื่อใช้โหมดนี้
ในโหมดนี้ หาก XClarity Administrator ใช้ใบรับรองที่ลงนามด้วยตนเอง XClarity Administrator ต้องใช้ใบรับรองหลักและใบรับรองเซิร์ฟเวอร์ที่ใช้ RSA3072/SHA384 หาก XClarity Administrator ใช้ใบรับรองที่ลงนามภายนอก XClarity Administrator ต้องสร้าง CSR ที่ใช้ RSA3072/SHA384 based CSR และติดต่อภายนอกเพื่อลงนามใบรับรองเซิร์ฟเวอร์ใหม่ตาม RSA3072/SHA384
เมื่อ XClarity Administrator ใช้ใบรับรองที่ใช้ RSA3072/SHA384 XClarity Administrator อาจยกเลิกการเชื่อมต่ออุปกรณ์อื่นๆ นอกเหนือจากตัวเครื่อง Flex System (CMMS) และเซิร์ฟเวอร์, เซิร์ฟเวอร์ ThinkSystem, เซิร์ฟเวอร์ ThinkServer, เซิร์ฟเวอร์ System x M4 และ M5, สวิตช์ Lenovo ThinkSystem DB Series, Lenovo RackSwitch, สวิตช์ Flex System, สวิตช์ Mellanox, อุปกรณ์จัดเก็บ ThinkSystem DE/DM, ไลบรารีเทปเทป IBM และเซิร์ฟเวอร์ ThinkSystem SR635/SR655 ที่แฟลชด้วยเฟิร์มแวร์เวอร์ชันก่อน 22C หากต้องการจัดการอุปกรณ์ที่ถูกตัดการเชื่อมต่อต่อไป ให้ตั้งค่าอินสแตนซ์ XClarity Administrator อื่นด้วยใบรับรองที่ใช้ RSA2048/SHA384
คลิก ใช้
- กําหนดค่าเวอร์ชัน TLS ขั้นต่ำ
คลิก เพื่อแสดงกล่องโต้ตอบ ตั้งค่าเวอร์ชันของ TLS ของระบบ
เลือกเวอร์ชันโปรโตคอล TLS ขั้นต่ำที่ใช้สำหรับการเชื่อมต่อไคลเอ็นต์กับเซิร์ฟเวอร์อื่นๆ (เช่น การเชื่อมต่อไคลเอ็นต์ LDAP กับเซิร์ฟเวอร์ LDAP) ระบบจะกําหนดค่าบนอุปกรณ์ที่เลือกที่รองรับการตั้งค่านี้ คุณสามารถเลือกตัวเลือกต่อไปนี้
- TLS1.2 บังคับใช้โปรโตคอลการเข้ารหัส TLS v1.2
- TLS1.3 บังคับใช้โปรโตคอลการเข้ารหัส TLS v1.3
อุปกรณ์ System x และ CMM รองรับเฉพาะ TLS v1.2 เท่านั้น
คลิก ใช้