在管理软件上配置加密设置

可以为管理软件配置 SSL/TLS 版本和加密设置。

开始之前

在修改管理软件上的设置之前，请查看加密注意事项（请参阅加密管理）。

关于本任务

加密模式 决定了如何处理 XClarity Administrator 与所有受管系统之间的安全通信。如果实现了安全通信，它设置要使用的加密密钥长度。

注

无论选择何种加密模式，将始终使用 NIST 批准的 Digital Random Bit Generator，并且对称加密仅使用 128 位或更长的密钥。

要更改受管设备的安全设置，请参阅配置受管服务器的安全设置。

过程

要更改管理软件上的加密设置，请完成以下步骤。

从 XClarity Administrator 菜单栏中，单击管理 > 安全性。
选择下面一个加密模式以用于安全通信：
- 兼容性。此模式为默认模式。它与较旧的固件版本、浏览器和其他网络客户端兼容，但这些旧版本未实现符合 NIST SP 800-131A 所需的严格安全性标准。
- NIST SP 800-131A。此模式旨在遵从 NIST SP 800-131A 标准。XClarity Administrator 旨在始终在内部使用强加密，如有强加密网络连接，还要使用这些连接。但是，在此模式下，不允许使用未经 NIST SP 800-131A 认可的加密模式进行网络连接，其中包括拒绝接受用 SHA-1 或更弱的散列签署的传输层安全性（TLS）证书。
  如果选择此模式：
  - 对于除端口 8443 以外的所有端口，所有 TLS CBC 密码和所有不支持完美前向保密的密码都会被禁用。
  - 事件通知可能未成功推送到某些移动设备订阅。请参阅将事件转发到移动设备。外部服务（如 Android 和 iOS）存在用 SHA-1 签署的证书，而 SHA-1 是一种不符合 NIST SP 800-131A 模式的更严格要求的算法。因此，连接到这些服务可能会失败并返回证书异常或握手故障。
  有关 NIST SP 800-131A 合规性的详细信息，请参阅实现 NIST SP 800-131A 合规性。
选择用于客户端与其他服务器（如 LDAP 服务器）之间的连接的最低 TLS 协议版本。可选择以下选项。
- TLS1.2：强制执行 TLS v1.2 加密协议。
- TLS1.3：强制执行 TLS v1.3 加密协议。
选择用于服务器连接（如 Web 服务器）的最低 TLS 协议版本。可选择以下选项。
- TLS1.2：强制执行 TLS v1.2 加密协议。
- TLS1.3：强制执行 TLS v1.3 加密协议。
选择用于 XClarity Administrator 操作系统部署和操作系统设备驱动程序更新的最低 TLS 协议版本。可选择以下选项。
- TLS1.2：强制执行 TLS v1.2 加密协议。
- TLS1.3：强制执行 TLS v1.3 加密协议。
注
只有安装过程支持所选加密算法或强加密算法的操作系统才能通过 XClarity Administrator 部署和更新。
选择要用于证书所有部分（包括根 CA 证书、服务器证书和外部签名证书的 CSR）的加密密钥长度和哈希算法。
- RSA 2048 位/SHA-256（默认）
  当受管设备采用兼容性、NIST SP 800-131A 或标准安全模式时，适用此模式。当一个或多个受管设备采用企业级严格安全模式时，不能使用此模式。
- RSA 3072 位/SHA-384
  当受管设备采用企业级严格安全模式时，需要设置此模式。
  重要
  只有配备 XCC2 的服务器才支持 RSA-3072/SHA-384 证书签名。为 XClarity Administrator 配置基于 RSA-3072/SHA-384 的证书后，非 XCC2 设备将不受管理。要管理非 XCC2 设备，您需要一个单独的 XClarity Administrator 实例。
单击应用。
重新启动 XClarity Administrator（请参阅重新启动XClarity Administrator）。
如果更改了加密密钥长度，请使用正确的密钥长度和哈希算法重新生成证书颁发机构根证书（请参阅重新生成或恢复 Lenovo XClarity Administrator 自签名服务器证书或将定制的服务器证书部署到 Lenovo XClarity Administrator）。

完成之后

如果收到警报指出服务器证书不是受管设备的可信证书，请参阅解析不受信任的服务器证书）。

提供反馈