跳到主要内容

加密管理

加密管理由多种通信模式和协议构成,它们控制如何处理 Lenovo XClarity Administrator 与受管设备(如机箱、服务器和 Flex 交换机)之间的安全通信。

加密算法

XClarity Administrator 支持 TLS 1.2 和更强大的加密算法,以实现安全网络连接。

为了提高安全性,仅支持高强度密码。客户端操作系统和 Web 浏览器的组合必须支持以下密码套件之一。

  • SSH-ED25519

  • SSH-ED25519-CERT-V01@OPENSSH.COM

  • ECDSA-SHA2-NISTP256

  • ECDSA-SHA2-NISTP256-CERT-V01@OPENSSH.COM

  • ECDSA-SHA2-NISTP384

  • ECDSA-SHA2-NISTP384-CERT-V01@OPENSSH.COM

  • ECDSA-SHA2-NISTP521

  • ECDSA-SHA2-NISTP521-CERT-V01@OPENSSH.COM

  • RSA-SHA2-512

  • RSA-SHA2-256

  • RSA-SHA2-384

管理软件的加密模式

此设置将决定用于从管理软件进行安全通信的模式。
  • 兼容性。此模式为默认模式。它与较旧的固件版本、浏览器和其他网络客户端兼容,但这些旧版本未实现符合 NIST SP 800-131A 所需的严格安全性标准。

  • NIST SP 800-131A。此模式旨在遵从 NIST SP 800-131A 标准。XClarity Administrator 旨在始终在内部使用强加密,如有强加密网络连接,还要使用这些连接。但是,在此模式下,不允许使用未经 NIST SP 800-131A 认可的加密模式进行网络连接,其中包括拒绝接受用 SHA-1 或更弱的散列签署的传输层安全性(TLS)证书。

    如果选择此模式:

    • 对于除端口 8443 以外的所有端口,所有 TLS CBC 密码和所有不支持完美前向保密的密码都会被禁用。

    • 事件通知可能未成功推送到某些移动设备订阅。请参阅将事件转发到移动设备。外部服务(如 Android 和 iOS)存在用 SHA-1 签署的证书,而 SHA-1 是一种不符合 NIST SP 800-131A 模式的更严格要求的算法。因此,连接到这些服务可能会失败并返回证书异常或握手故障。

    有关 NIST SP 800-131A 合规性的详细信息,请参阅实现 NIST SP 800-131A 合规性

有关在管理软件上设置安全模式的更多信息,请参阅 XClarity Administrator 线文档中的在管理软件上配置加密设置

受管服务器的安全模式

此设置将决定用于从受管服务器进行安全通信的模式。

  • 兼容性安全。当服务和客户端需要不符合 CNSA/FIPS 的加密算法时,请选择此模式。该模式支持广泛的加密算法,并允许启用所有服务。

  • NIST SP 800-131A。选择此模式可确保符合 NIST SP 800-131A 标准。这包括将 RSA 密钥限制在 2048 位或更长,将用于数字签名的散列限制在 SHA-256 或更长,并确保仅使用 NIST 批准的对称加密算法。此模式需要将 SSL/TLS 模式设为 TLS 1.2 服务器和客户端

    配备 XCC2 的服务器 支持此模式。

  • 标准安全。(仅限配备 XCC2 的服务器)这是配备 XCC2 的服务器的默认安全模式。选择此模式可确保符合 FIPS 140-3 标准。要使 XCC 在 FIPS 140-3 验证模式下运行,只能启用支持 FIPS 140-3 级加密的服务。默认情况下,不支持 FIPS 140-2/140-3 级加密的服务处于禁用状态,但可以根据需要启用。如果启用了任何使用非 FIPS 140-3 级加密的服务,XCC 将无法在 FIPS 140-3 验证模式下运行。此模式需要 FIP 级证书。

  • 企业级严格安全。(仅限配备 XCC2 的服务器)这是最安全的模式。选择此模式可确保符合 CNSA 标准。仅允许支持 CNSA 级加密的服务。非安全服务默认处于禁用状态且无法启用。此模式需要 CNSA 级证书。

    XClarity Administrator 会对采用企业级严格安全模式的服务器使用 RSA-3072/SHA-384 证书签名。

    重要

    • 要使用此模式,必须在每个选定的配备 XCC2 的服务器上都安装 XCC2 Feature On Demand 密钥。

    • 在该模式下,如果 XClarity Administrator 使用自签名证书,则 XClarity Administrator 必须使用基于 RSA3072/SHA384 的根证书和服务器证书。如果 XClarity Administrator 使用外部签名证书,则 XClarity Administrator 必须生成基于 RSA3072/SHA384 的 CSR,并联系外部 CA 以签署基于 RSA3072/SHA384 的新服务器证书。

    • XClarity Administrator 使用基于 RSA3072/SHA384 的证书时,XClarity Administrator 可能会断开与设备的连接,但下列设备除外:Flex System 机箱(CMMS)和服务器、ThinkSystem 服务器、ThinkServer 服务器、System x M4 和 M5 服务器、Lenovo ThinkSystem DB 系列交换机、Lenovo RackSwitch, Flex System 交换机、Mellanox 交换机、ThinkSystem DE/DM 存储设备、IBM 磁带库存储,以及已刷写 22C 之前版本固件的 ThinkSystem SR635/SR655 服务器。要继续管理断开连接的设备,请设置另一个采用基于 RSA2048/SHA384 的证书的 XClarity Administrator 实例。

更改加密模式时,请考虑以下影响。

  • 不支持从兼容性安全模式或标准安全模式更改为企业级严格安全模式。

  • 当从兼容性安全模式升级到标准安全模式时,如果导入的证书或 SSH 公钥不合规,您会收到警告,但仍然可以升级到标准安全模式。

  • 如果从企业级严格安全模式降级到兼容性安全模式或标准安全模式,则:

    • 服务器会自动重启以使该安全模式生效。

    • 如果 XCC2 上的严格模式 FoD 密钥丢失或过期,并且 XCC2 使用自签名 TLS 证书,则 XCC2 会根据符合标准严格模式的算法重新生成自签名 TLS 证书。这会导致 XClarity Administrator 因证书错误出现连接故障。要解决不受信任的证书错误,请参阅 XClarity Administrator 在线文档中的解析不受信任的服务器证书。如果 XCC2 使用自定义 TLS 证书,XCC2 会允许降级,并且会警告您需要导入基于标准安全模式密码的服务器证书。

  • 配备 XCC2 的服务器不支持 NIST SP 800-131A 模式。
  • XCC 的安全模式设为 TLS v1.3 时,不能使用受管认证 管理 ThinkSystem 或 ThinkAgile 服务器。
  • 对于使用受管认证 管理的 ThinkSystem 或 ThinkAgile 服务器,使用 XClarity Administrator 或 XCC 将 XCC 的安全模式更改为 TLS v1.3 会导致服务器脱机。
您可以更改以下设备的安全设置。
  • 采用 Intel 或 AMD 处理器的 Lenovo ThinkSystem 服务器(SR635/SR655 除外)
  • Lenovo ThinkSystem V2 服务器
  • 采用 Intel 或 AMD 处理器的 Lenovo ThinkSystem V3 服务器
  • Lenovo ThinkEdge SE350/SE450 服务器
  • Lenovo System x 服务器

有关在受管服务器上设置安全模式的更多信息,请参阅 XClarity Administrator 在线文档中的配置受管服务器的安全设置