跳到主要内容

配置受管服务器的安全设置

可以为受管服务器配置 SSL/TLS 版本和加密设置。

关于本任务

更改加密模式时,请考虑以下影响。

  • 对于 XClarity Administrator v4.2 及更低版本:

    • XCC 上的 TLS 版本设置为 v1.3 时,要使用受管认证来管理 ThinkSystem 或 ThinkAgile 服务器,XClarity Administrator 中的最低服务器 TLS 版本也必须设为 TLS v1.3(请参阅在管理软件上配置加密设置)。
  • 对于 XClarity Administrator v4.0 及更低版本:
    • XCC 的安全模式设为 TLS v1.3 时,不能使用受管认证 管理 ThinkSystem 或 ThinkAgile 服务器。
    • 对于使用受管认证 管理的 ThinkSystem 或 ThinkAgile 服务器,使用 XClarity Administrator 或 XCC 将 XCC 的安全模式更改为 TLS v1.3 会导致服务器脱机。

  • 不支持从兼容性安全模式或标准安全模式更改为企业级严格安全模式。

  • 当从兼容性安全模式升级到标准安全模式时,如果导入的证书或 SSH 公钥不合规,您会收到警告,但仍然可以升级到标准安全模式。

  • 如果从企业级严格安全模式降级到兼容性安全模式或标准安全模式,则:

    • 服务器会自动重启以使该安全模式生效。

    • 对于 ThinkSystem V3 和 V4 服务器:如果 XCC 上的严格模式 FoD 密钥丢失或过期,并且 XCC 使用自签名 TLS 证书,则 XCC 会根据符合标准严格模式的算法重新生成自签名 TLS 证书。这会导致 XClarity Administrator 因证书错误出现连接故障。要解决不受信任的证书错误,请参阅 XClarity Administrator 在线文档中的解析不受信任的服务器证书。如果 XCC 使用自定义 TLS 证书,XCC 会允许降级,并且会警告您需要导入基于标准安全模式密码的服务器证书。

您可以更改以下设备的安全设置。
  • 采用 Intel 或 AMD 处理器的 Lenovo ThinkSystem 服务器(SR635/SR655 除外)
  • Lenovo ThinkSystem V2 服务器
  • 采用 Intel 或 AMD 处理器的 Lenovo ThinkSystem V3 服务器
  • Lenovo ThinkSystem V4 服务器
  • Lenovo ThinkEdge SE350 和 SE450 服务器
  • Lenovo System x 服务器

过程

要更改特定受管服务器的安全设置,请完成以下步骤。

  1. XClarity Administrator 菜单中,单击硬件 > 服务器。随后将显示服务器页面,其中以表格视图的方式显示所有受管服务器。
  2. 选择一个或多个服务器。
  3. 配置安全模式。

    1. 单击所有操作 > 安全性 > 设置系统安全模式,以显示“设置系统安全模式”对话框。

      该对话框会列出可以设为每种模式的服务器数量。将光标悬停在每个数字上,将会弹出一个显示适用服务器名称列表的窗口。

    2. 选择安全模式。此项可以是以下某个值。

      • 兼容性安全。当服务和客户端需要不符合 CNSA/FIPS 的加密算法时,请选择此模式。该模式支持广泛的加密算法,并允许启用所有服务。

      • NIST SP 800-131A。选择此模式可确保符合 NIST SP 800-131A 标准。这包括将 RSA 密钥限制在 2048 位或更长,将用于数字签名的散列限制在 SHA-256 或更长,并确保仅使用 NIST 批准的对称加密算法。此模式需要将 SSL/TLS 模式设为 TLS 1.2 服务器和客户端

        ThinkSystem V1 和 V2 服务器支持此模式。

      • 标准安全。这是 ThinkSystem V3 和 V4 服务器的默认安全模式。选择此模式可确保符合 FIPS 140-3 标准。要使 XCC 在 FIPS 140-3 验证模式下运行,只能启用支持 FIPS 140-3 级加密的服务。默认情况下,不支持 FIPS 140-2/140-3 级加密的服务处于禁用状态,但可以根据需要启用。如果启用了任何使用非 FIPS 140-3 级加密的服务,XCC 将无法在 FIPS 140-3 验证模式下运行。此模式需要 FIP 级证书。

      • 企业级严格安全。这是 ThinkSystem V3 和 V4 服务器最安全的模式。选择此模式可确保符合 CNSA 标准。仅允许支持 CNSA 级加密的服务。非安全服务默认处于禁用状态且无法启用。此模式需要 CNSA 级证书。

        XClarity Administrator 会对采用企业级严格安全模式的服务器使用 RSA 3072 位/SHA-384 证书签名。

        重要

        • 要使用此模式,必须在每个选定的 ThinkSystem V3 和 V4 服务器(搭载 XCC2 或 XCC3)上都安装 XCC Feature On Demand 密钥。

        • 在此模式下,如果 XClarity Administrator 使用自签名证书,XClarity Administrator 必须使用基于 RSA 3072 位/SHA-384 的根证书和服务器证书。如果 XClarity Administrator 使用外部签名证书,XClarity Administrator 必须生成基于 RSA 3072 位/SHA-384 的 CSR,并联系外部 CA 以签署基于 RSA 3072 位/SHA-384 的新服务器证书。

        • XClarity Administrator 使用基于 RSA 3072 位/SHA-384 的证书时,XClarity Administrator 可能会断开与设备的连接,但下列设备除外:Flex System 机箱(CMMS)和服务器、ThinkSystem 服务器、ThinkServer 服务器、System x M4 和 M5 服务器、Lenovo ThinkSystem DB 系列交换机、Lenovo RackSwitch, Flex System 交换机、Mellanox 交换机、ThinkSystem DE/DM 存储设备、IBM 磁带库存储,以及已刷写 22C 之前版本固件的 ThinkSystem SR635/SR655 服务器。要继续管理断开连接的设备,请使用基于 2048 位/SHA-256 的证书设置另一个 XClarity Administrator 实例。

      • 高安全性。这是 ThinkSystem V1 和 V2 服务器最安全的模式。选择此模式可确保符合 NIST 和 PFS(完美前向保密)标准。

        仅 ThinkSystem V1 和 V2 服务器支持此模式。需要 2023 年第二季度或之后发布的 XCC 固件版本。

    3. 单击应用

  4. 配置最低 TLS 版本。

    1. 单击所有操作 > 安全性 > 设置系统 TLS 版本,以显示设置系统 TLS 版本对话框。

    2. 选择可用于客户端与其他服务器之间的连接(如 LDAP 客户端与 LDAP 服务器之间的连接)的最低 TLS 协议版本。该值在支持此设置的选定设备上配置。可选择以下选项。

      • TLS1.2:强制执行 TLS v1.2 加密协议。
      • TLS1.3:强制执行 TLS v1.3 加密协议。
      System x 和 CMM 设备仅支持 TLS v1.2。

    3. 单击应用