在管理伺服器上配置加密法設定

您可以配置管理伺服器的 SSL/TLS 版本和加密設定。

程序

若要變更管理伺服器上的加密法設定，請完成下列步驟。

1. 在 XClarity Administrator 功能表列上，按一下管理 > 安全性。
2. 從下列選擇一種用於安全通訊的加密模式：
   • 相容性。此模式是預設值。此模式與舊版韌體、瀏覽器，以及未實作為符合 NIST SP 800-131A 而需要之嚴密安全標準的其他網路用戶端相容。

   • NIST SP 800-131A。此模式是針對符合 NIST SP 800-131A 標準而設計。XClarity Administrator 的設計是一律在內部使用強式加密法，並使用強式加密法網路連線（如果有的話）。不過，在此模式下，使用 NIST SP 800-131A 未核准之加密法的網路連線則在禁止之列，包括拒絕使用 SHA-1 或更弱雜湊簽章的傳輸層安全 (TLS) 憑證。

     如果您選取此模式︰

     • 對於埠 8443 以外的所有埠，所有 TLS CBC 密碼和所有不支援完整轉寄密碼的密碼都會遭停用。

     • 事件通知可能不會成功推送到部分行動裝置訂閱（請參閱轉遞事件至行動裝置）。外部服務（例如 Android 及 iOS）會呈現使用 SHA-1 簽章的憑證，而 SHA-1 是不符合需求較嚴密之 NIST SP 800-131A 模式的演算法。因此，與這些服務的任何連線都可能會失敗，並出現憑證異常狀況或信號交換失敗。

     如需 NIST SP 800-131A 相符性的相關資訊，請參閱實作 NIST SP 800-131A 標準。
3. 選擇用戶端與其他伺服器（例如 LDAP 伺服器）連線使用的最低 TLS 通訊協定版本。您可以選擇下列選項。
   • TLS1.2。強制使用 TLS v1.2 加密法通訊協定。
   • TLS1.3。強制使用 TLS v1.3 加密法通訊協定。
4. 選擇伺服器連線（例如 Web 伺服器）使用的最低 TLS 通訊協定版本。您可以選擇下列選項。
   • TLS1.2。強制使用 TLS v1.2 加密法通訊協定。
   • TLS1.3。強制使用 TLS v1.3 加密法通訊協定。
5. 選擇用於 XClarity Administrator 作業系統部署及 OS 裝置驅動程式更新的最低 TLS 通訊協定版本。您可以選擇下列選項。
   • TLS1.2。強制使用 TLS v1.2 加密法通訊協定。
   • TLS1.3。強制使用 TLS v1.3 加密法通訊協定。

   註

   只有安裝程序支援選取的加密演算法或強式加密演算法的作業系統可以透過 XClarity Administrator 部署和更新。
6. 選取要用於憑證所有部分（包括主要 CA 憑證、伺服器憑證和外部簽署憑證的 CSR）的加密金鑰長度和雜湊演算法。

   • RSA 2048 位元/SHA-256（預設值）

     當受管理裝置處於相容性、NIST SP 800-131A 或標準安全性模式時，可使用此模式。當一個或多個受管理裝置處於企業嚴格安全性模式時，無法使用此模式。

   • RSA 3072 位元/SHA-384

     當受管理裝置處於企業嚴格安全性模式時，必須使用此模式。

     重要

     只有配備 XCC2 的伺服器支援 RSA-3072/SHA-384 憑證簽章。為 XClarity Administrator 配置基於 RSA-3072/SHA-384 的憑證時，非 XCC2 裝置將解除管理。若要管理非 XCC2 裝置，您需要一個單獨的 XClarity Administrator 實例。
7. 按一下套用。
8. 重新啟動 XClarity Administrator（請參閱重新啟動 XClarity Administrator）。
9. 如果您變更了加密金鑰長度，請使用正確的金鑰長度和雜湊演算法重新產生憑證管理中心主要憑證（請參閱重新產生或還原 Lenovo XClarity Administrator 自簽伺服器憑證或部署自訂的伺服器憑證至 Lenovo XClarity Administrator）。