การกําหนดค่าการตั้งค่าการรักษาความปลอดภัยสำหรับเซิร์ฟเวอร์ที่มีการจัดการ

คุณสามารถกําหนดค่าเวอร์ชันของ SSL/TLS และการตั้งค่าการเข้ารหัสของเซิร์ฟเวอร์ที่มีการจัดการ

เกี่ยวกับงานนี้

พิจารณาความเกี่ยวข้องของการเปลี่ยนแปลงโหมดการเข้ารหัสต่อไปนี้

สำหรับ XClarity Administrator v4.2 และรุ่นก่อนหน้า:
- หากต้องการใช้การตรวจสอบความถูกต้องที่ได้รับการจัดการสำหรับการจัดการเซิร์ฟเวอร์ ThinkSystem หรือ ThinkAgile เมื่อเวอร์ชัน TLS บน XCC ตั้งค่าเป็น v1.3 ต้องตั้งค่า เวอร์ชัน TLS ขั้นต่ำของเซิร์ฟเวอร์ ใน XClarity Administrator เป็น TLS v1.3 ด้วย (ดู การกําหนดค่าการตั้งค่าการเข้ารหัสบนเซิร์ฟเวอร์การจัดการ)
สำหรับ XClarity Administrator v4.0 และรุ่นก่อนหน้า:
- คุณไม่สามารถใช้ การตรวจสอบความถูกต้องที่ได้รับการจัดการ ในการจัดการเซิร์ฟเวอร์ ThinkSystem หรือ ThinkAgile เมื่อตั้งค่าโหมดการรักษาความปลอดภัยของ XCC เป็น TLS v1.3
- สำหรับเซิร์ฟเวอร์ ThinkSystem หรือ ThinkAgile ที่ได้รับการจัดการโดยใช้ การตรวจสอบความถูกต้องที่ได้รับการจัดการ การเปลี่ยนโหมดการรักษาความปลอดภัยของ XCC เป็น TLS v1.3 โดยใช้ XClarity Administrator หรือ XCC จะทําให้เซิร์ฟเวอร์ออฟไลน์
ไม่รองรับการเปลี่ยนจากโหมด การรักษาความปลอดภัยแบบเข้ากันได้ หรือโหมด การรักษาความปลอดภัยมาตรฐาน เป็นโหมด การรักษาความปลอดภัยที่รัดกุมสำหรับองค์กร
หากคุณอัปเกรดจากโหมด การรักษาความปลอดภัยแบบเข้ากันได้ เป็นโหมด การรักษาความปลอดภัยมาตรฐาน คุณจะได้รับการแจ้งเตือน หากใบรับรองที่นําเข้าหรือคีย์สาธารณะ SSH ไม่สอดคล้องตามมาตรฐาน แต่คุณยังคงสามารถอัปเกรดเป็นโหมด การรักษาความปลอดภัยมาตรฐาน ได้
หากคุณดาวน์เกรดจากโหมด การรักษาความปลอดภัยที่รัดกุมสำหรับองค์กร เป็นโหมด การรักษาความปลอดภัยแบบเข้ากันได้ หรือโหมด การรักษาความปลอดภัยมาตรฐาน:
- เซิร์ฟเวอร์จะรีสตาร์ทโดยอัตโนมัติเพื่อให้โหมดการรักษาความปลอดภัยมีผล
- สำหรับเซิร์ฟเวอร์ ThinkSystem V3 และ V4: หากคีย์ FoD โหมดรัดกุมขาดหายไปหรือหมดอายุใน XCC และหาก XCC ใช้ใบรับรอง TLS ที่ลงนามด้วยตนเอง XCC จะสร้างใบรับรอง TLS ที่ลงนามด้วยตนเองขึ้นมาใหม่โดยอ้างอิงจากอัลกอริทึมที่สอดคล้องตามมาตรฐานแบบรัดกุม XClarity Administrator แสดงความล้มเหลวในการเชื่อมต่อเนื่องจากข้อผิดพลาดของใบรับรอง ในการแก้ไขปัญหาข้อผิดพลาดของใบรับรองที่ไม่น่าเชื่อถือ โปรดดู การแก้ปัญหาใบรับรองเซิร์ฟเวอร์ที่ไม่น่าเชื่อถือ หาก XCC ใช้ใบรับรอง TLS ที่กำหนดเอง XCC จะอนุญาตให้ดาวน์เกรด และเตือนคุณว่าคุณต้องนําเข้าใบรับรองเซิร์ฟเวอร์ที่ใช้การเข้ารหัสโหมด การรักษาความปลอดภัยมาตรฐาน

คุณสามารถเปลี่ยนการตั้งค่าการรักษาความปลอดภัยของอุปกรณ์ต่อไปนี้ได้

เซิร์ฟเวอร์ Lenovo ThinkSystem ที่มีโปรเซสเซอร์ Intel หรือ AMD (ยกเว้น SR635 / SR655)
เซิร์ฟเวอร์ Lenovo ThinkSystem V2
เซิร์ฟเวอร์ Lenovo ThinkSystem V3 ที่มีโปรเซสเซอร์ Intel หรือ AMD
เซิร์ฟเวอร์ Lenovo ThinkSystem V4
เซิร์ฟเวอร์ Lenovo ThinkEdge SE350 และ SE450
เซิร์ฟเวอร์ Lenovo System x

ขั้นตอน

ในการเปลี่ยนการตั้งค่าการรักษาความปลอดภัยของเซิร์ฟเวอร์ที่มีการจัดการบางรุ่น ให้ทำตามขั้นตอนต่อไปนี้

จากเมนู XClarity Administrator ให้คลิก ฮาร์ดแวร์ > เซิร์ฟเวอร์ หน้า เซิร์ฟเวอร์ จะแสดงขึ้นในมุมมองแบบตารางที่ประกอบด้วยเซิร์ฟเวอร์ทั้งหมดที่ได้รับการจัดการ
เลือกเซิร์ฟเวอร์อย่างน้อยหนึ่งเครื่อง
กำหนดค่าโหมดการรักษาความปลอดภัย
1. คลิก การดำเนินการทั้งหมด > การรักษาความปลอดภัย > ตั้งค่าโหมดการรักษาความปลอดภัยของระบบ เพื่อแสดงกล่องโต้ตอบ ตั้งค่าโหมดการรักษาความปลอดภัยของระบบ
  กล่องโต้ตอบแสดงรายการจํานวนของเซิร์ฟเวอร์ที่สามารถตั้งค่าเป็นแต่ละโหมดได้ เลื่อนเคอร์เซอร์ไปเหนือแต่ละหมายเลขเพื่อแสดงป็อปอัพพร้อมรายการชื่อเซิร์ฟเวอร์ที่ใช้ได้
2. เลือกโหมดการรักษาความปลอดภัย ซึ่งสามารถเป็นค่าใดค่าหนึ่งต่อไปนี้
  - การรักษาความปลอดภัยแบบเข้ากันได้ เลือกโหมดนี้เมื่อบริการและไคลเอ็นต์ต้องการใช้การเข้ารหัสที่ไม่สอดคล้องตามมาตรฐาน CNSA/FIPS โหมดนี้รองรับอัลกอริทึมการเข้ารหัสที่หลากหลาย และอนุญาตให้มีการเปิดใช้งานบริการทั้งหมด
  - NIST SP 800-131A เลือกโหมดนี้เพื่อให้สอดคล้องตามมาตรฐาน NIST SP 800-131A ซึ่งรวมถึงการจำกัดคีย์ RSA ไว้ที่ 2048 บิตหรือมากกว่า การจำกัดแฮชที่ใช้สำหรับลายเซ็นดิจิตอลให้เป็น SHA-256 หรือยาวกว่า และใช้เฉพาะอัลกอริทึมการเข้ารหัสแบบสมมาตรที่ NIST รับรองเท่านั้น โหมดนี้กำหนดให้ตั้งค่าโหมด SSL/TLS เป็น TLS 1.2 Server Client
    โหมดนี้รองรับสำหรับเซิร์ฟเวอร์ ThinkSystem V1 และ V2
  - การรักษาความปลอดภัยมาตรฐาน นี่คือโหมดความปลอดภัยเริ่มต้นสำหรับ เซิร์ฟเวอร์ ThinkSystem V3 และ V4 เลือกโหมดนี้เพื่อให้สอดคล้องตามมาตรฐาน FIPS 140-3 เพื่อให้ XCC ดําเนินการในโหมดที่ผ่านมาตรฐาน FIPS 140-3 จะต้องเปิดใช้งานบริการที่รองรับการเข้ารหัสระดับ FIPS 140-3 เท่านั้น บริการที่ไม่รองรับการเข้ารหัสระดับ FIPS 140-2/140-3 ถูกปิดใช้งานตามค่าเริ่มต้น แต่สามารถเปิดใช้งานได้หากจำเป็นต้องใช้ หากมีการเปิดใช้งานบริการใดๆ ที่ใช้การเข้ารหัสที่ไม่ใช่ระดับ FIPS 140-3 XCC จะไม่สามารถดําเนินการในโหมดที่ผ่านมาตรฐาน FIPS 140-3 ได้ โหมดนี้ต้องใช้ใบรับรองระดับ FIP
  - การรักษาความปลอดภัยที่รัดกุมสำหรับองค์กร โหมดนี้เป็นโหมดที่ปลอดภัยที่สุดสำหรับเซิร์ฟเวอร์ ThinkSystem V3 และ V4 เลือกโหมดนี้เพื่อให้สอดคล้องตามมาตรฐาน CNSA อนุญาตเฉพาะบริการที่รองรับการเข้ารหัสระดับ CNSA เท่านั้น บริการที่ไม่ปลอดภัยจะถูกปิดใช้งานตามค่าเริ่มต้นและไม่สามารถเปิดใช้งานได้ โหมดนี้ต้องใช้ใบรับรองระดับ CNSA
    XClarity Administrator ใช้ลายเซ็นใบรับรอง RSA 3072 บิต/SHA-384 สำหรับเซิร์ฟเวอร์ในโหมดการรักษาความปลอดภัยที่รัดกุมสำหรับองค์กร
    สำคัญ
    ต้องติดตั้งคีย์คุณลักษณะตามต้องการของ XCC ในแต่ละ เซิร์ฟเวอร์ ThinkSystem V3 และ V4 (ที่มี XCC2 หรือ XCC3) ที่เลือกเพื่อใช้โหมดนี้
    ในโหมดนี้ หาก XClarity Administrator ใช้ใบรับรองที่ลงนามด้วยตนเอง XClarity Administrator ต้องใช้ใบรับรองหลักและใบรับรองเซิร์ฟเวอร์ที่ใช้ RSA 3072 บิต/SHA-384 หาก XClarity Administrator ใช้ใบรับรองที่ลงนามภายนอก XClarity Administrator ต้องสร้าง CSR ที่ใช้ RSA 3072 บิต/SHA-384 และติดต่อ CA ภายนอกเพื่อลงนามใบรับรองเซิร์ฟเวอร์ใหม่ตาม RSA 3072 บิต/SHA-384
    เมื่อ XClarity Administrator ใช้ใบรับรองที่ใช้ RSA 3072 บิต/SHA-384 XClarity Administrator อาจยกเลิกการเชื่อมต่ออุปกรณ์อื่นๆ นอกเหนือจากตัวเครื่อง Flex System (CMMS) และเซิร์ฟเวอร์, เซิร์ฟเวอร์ ThinkSystem, เซิร์ฟเวอร์ ThinkServer, เซิร์ฟเวอร์ System x M4 และ M5, สวิตช์ Lenovo ThinkSystem ซีรีส์ DB, Lenovo RackSwitch, สวิตช์ Flex System, สวิตช์ Mellanox, อุปกรณ์จัดเก็บ ThinkSystem DE/DM, ไลบรารีเทปเทป IBM และเซิร์ฟเวอร์ ThinkSystem SR635/SR655 ที่แฟลชด้วยเฟิร์มแวร์เวอร์ชันก่อน 22C หากต้องการจัดการอุปกรณ์ที่ถูกตัดการเชื่อมต่อต่อไป ให้ตั้งค่าอินสแตนซ์ XClarity Administrator อื่นด้วยใบรับรองที่ใช้ RSA 2048 บิต/SHA-256
  - ความปลอดภัยสูง โหมดนี้เป็นโหมดที่ปลอดภัยที่สุดสำหรับเซิร์ฟเวอร์ ThinkSystem V1 และ V2 เลือกโหมดนี้เพื่อให้มั่นใจว่าสอดคล้องกับมาตรฐาน NIST และ PFS (Perfect Forward Secrecy)
    โหมดนี้รองรับเฉพาะเซิร์ฟเวอร์ ThinkSystem V1 และ V2 เท่านั้น ต้องมีเฟิร์มแวร์ XCC เวอร์ชันที่เผยแพร่ในช่วงไตรมาสที่สองของปี 2023 หรือใหม่กว่า
3. คลิก ใช้
กําหนดค่าเวอร์ชัน TLS ขั้นต่ำ
1. คลิก การดำเนินการทั้งหมด > การรักษาความปลอดภัย > ตั้งค่าเวอร์ชันของ TLS ของระบบ เพื่อแสดงกล่องโต้ตอบ ตั้งค่าเวอร์ชันของ TLS ของระบบ
2. เลือกเวอร์ชันโปรโตคอล TLS ขั้นต่ำที่ใช้สำหรับการเชื่อมต่อไคลเอ็นต์กับเซิร์ฟเวอร์อื่นๆ (เช่น การเชื่อมต่อไคลเอ็นต์ LDAP กับเซิร์ฟเวอร์ LDAP) ระบบจะกําหนดค่าบนอุปกรณ์ที่เลือกที่รองรับการตั้งค่านี้ คุณสามารถเลือกตัวเลือกต่อไปนี้
  - TLS1.2 บังคับใช้โปรโตคอลการเข้ารหัส TLS v1.2
  - TLS1.3 บังคับใช้โปรโตคอลการเข้ารหัส TLS v1.3
  หมายเหตุ
  อุปกรณ์ System x และ CMM รองรับเฉพาะ TLS v1.2 เท่านั้น
3. คลิก ใช้

ส่งคำติชม