跳至主要内容

加密管理

加密管理是由通訊模式及通訊協定所構成,這些通訊模式及通訊協定可控制 Lenovo XClarity Administrator 和受管理裝置(例如,機箱、伺服器及 Flex 交換器)間處理安全通訊的方式。

加密演算法

XClarity Administrator 支援 TLS 1.2 和更強大的加密演算法以實現安全網路連線。

為了增加安全性,僅支援高強度密碼。用戶端作業系統和 Web 瀏覽器必須支援下列其中一個密碼組合。

  • SSH-ED25519

  • SSH-ED25519-CERT-V01@OPENSSH.COM

  • ECDSA-SHA2-NISTP256

  • ECDSA-SHA2-NISTP256-CERT-V01@OPENSSH.COM

  • ECDSA-SHA2-NISTP384

  • ECDSA-SHA2-NISTP384-CERT-V01@OPENSSH.COM

  • ECDSA-SHA2-NISTP521

  • ECDSA-SHA2-NISTP521-CERT-V01@OPENSSH.COM

  • RSA-SHA2-512

  • RSA-SHA2-256

  • RSA-SHA2-384

管理伺服器的加密模式

此設定決定了從管理伺服器進行安全通訊所使用的模式。
  • 相容性。此模式是預設值。此模式與舊版韌體、瀏覽器,以及未實作為符合 NIST SP 800-131A 而需要之嚴密安全標準的其他網路用戶端相容。

  • NIST SP 800-131A。此模式是針對符合 NIST SP 800-131A 標準而設計。XClarity Administrator 的設計是一律在內部使用強式加密法,並使用強式加密法網路連線(如果有的話)。不過,在此模式下,使用 NIST SP 800-131A 未核准之加密法的網路連線則在禁止之列,包括拒絕使用 SHA-1 或更弱雜湊簽章的傳輸層安全 (TLS) 憑證。

    如果您選取此模式︰

    • 對於埠 8443 以外的所有埠,所有 TLS CBC 密碼和所有不支援完整轉寄密碼的密碼都會遭停用。

    • 事件通知可能不會成功推送到部分行動裝置訂閱(請參閱轉遞事件至行動裝置)。外部服務(例如 Android 及 iOS)會呈現使用 SHA-1 簽章的憑證,而 SHA-1 是不符合需求較嚴密之 NIST SP 800-131A 模式的演算法。因此,與這些服務的任何連線都可能會失敗,並出現憑證異常狀況或信號交換失敗。

    如需 NIST SP 800-131A 相符性的相關資訊,請參閱實作 NIST SP 800-131A 標準

如需在管理伺服器上設定安全性模式的相關資訊,請參閱在管理伺服器上配置加密法設定

受管理伺服器的安全性模式

此設定決定了從受管理伺服器進行安全通訊所使用的模式。

  • 相容性安全性。當服務和用戶端需要不符合 CNSA/FIPS 標準的加密法時,請選取此模式。此模式支援廣泛的加密演算法,並允許啟用所有服務。

  • NIST SP 800-131A。請選取此模式以確定符合 NIST SP 800-131A 標準。這包括將 RSA 金鑰限制為 2048 位元或更大,將用於數位簽章的雜湊限制為 SHA-256 或更長,並確定只使用 NIST 核准的對稱加密演算法。此模式需要將 SSL/TLS 模式設定為 TLS 1.2 伺服器用戶端

    配備 XCC2 的伺服器支援此模式。

  • 標準安全性。(僅限配備 XCC2 的伺服器)這是配備 XCC2 的伺服器的預設安全性模式。請選取此模式以確定符合 FIPS 140-3 標準。為了使 XCC 在 FIPS 140-3 驗證模式下運作,只能啟用支援 FIPS 140-3 級加密法的服務。不支援 FIPS 140-2/140-3 級加密法的服務預設為停用,但可視需要啟用。如果啟用了任何使用非 FIPS 140-3 級加密法的服務,XCC 將無法在 FIPS 140-3 驗證模式下運作。此模式需要 FIP 層級憑證。

  • 企業嚴格安全性。(僅限配備 XCC2 的伺服器)這是最安全的模式。請選取此模式以確定符合 CNSA 標準。僅允許支援 CNSA 層級加密法的服務。非安全服務預設為停用,而且無法啟用。此模式需要 CNSA 層級憑證。

    XClarity Administrator 會對採用企業嚴格安全性模式的伺服器使用 RSA-3072/SHA-384 憑證簽章。

    重要

    • 要使用此模式,必須在每個選取的配備 XCC2 的伺服器上安裝 XCC2 Feature On Demand 金鑰。

    • 在此模式下,如果 XClarity Administrator 使用自簽憑證,則 XClarity Administrator 必須使用基於 RSA3072/SHA384 的主要憑證和伺服器憑證。如果 XClarity Administrator 使用外部簽署憑證,則 XClarity Administrator 必須產生基於 RSA3072/SHA384 的 CSR,並聯絡外部 CA 以簽署基於 RSA3072/SHA384 的新伺服器憑證。

    • XClarity Administrator 使用基於 RSA3072/SHA384 的憑證時,XClarity Administrator 可能會中斷與裝置的連線,但下列裝置除外:Flex System 機箱 (CMMS) 和伺服器、ThinkSystem 伺服器、ThinkServer 伺服器、System x M4 和 M5 伺服器、Lenovo ThinkSystem DB 系列交換器、Lenovo RackSwitch、Flex System 交換器、Mellanox 交換器、ThinkSystem DE/DM 儲存裝置、IBM 磁帶庫儲存體,以及使用低於 22C 的韌體刷新的 ThinkSystem SR635/SR655 伺服器。若要繼續管理中斷連線的裝置,請設定另一個採用基於 RSA2048/SHA384 的憑證的 XClarity Administrator 實例。

請考慮變更加密模式的下列含意。

  • 不支援從相容性安全性模式或標準安全性模式變更為企業嚴格安全性模式。

  • 當您從相容性安全性模式升級到標準安全性模式時,如果匯入的憑證或 SSH 公用金鑰不符合標準,您會收到警告,但仍然可以升級到標準安全性模式。

  • 如果從企業嚴格安全性模式降級到相容性安全性模式或標準安全性模式:

    • 伺服器會自動重新啟動以使安全性模式生效。

    • 如果 XCC2 上的嚴格模式 FoD 金鑰遺失或過期,而且 XCC2 使用自簽 TLS 憑證,則 XCC2 會根據符合標準嚴格規格的演算法重新產生自簽 TLS 憑證。XClarity Administrator 因憑證錯誤出現連線失敗。若要解決不受信任的憑證錯誤,請參閱解決不受信任的伺服器憑證。如果 XCC2 使用自訂 TLS 憑證,則 XCC2 允許降級,而且會警告您需要匯入基於標準安全性模式加密法的伺服器憑證。

  • 配備 XCC2 的伺服器不支援 NIST SP 800-131A 模式。
  • 當 XCC 的安全性模式設定為 TLS v1.3 時,無法使用受管理鑑別管理 ThinkSystem 或 ThinkAgile 伺服器。
  • 對於使用受管理鑑別管理的 ThinkSystem 或 ThinkAgile 伺服器,使用 XClarity Administrator 或 XCC 將 XCC 的安全性模式變更為 TLS v1.3 將導致伺服器離線。
您可以變更下列裝置的安全性設定。
  • 配備 Intel 或 AMD 處理器的 Lenovo ThinkSystem 伺服器(SR635/SR655 除外)
  • Lenovo ThinkSystem V2 伺服器
  • 配備 Intel 或 AMD 處理器的 Lenovo ThinkSystem V3 伺服器
  • Lenovo ThinkEdge SE350/SE450 伺服器
  • Lenovo System x 伺服器

如需在受管理伺服器上設定安全性模式的相關資訊,請參閱配置受管理伺服器的安全性設定