跳至主要内容

配置受管理伺服器的安全性設定

您可以配置受管理伺服器的 SSL/TLS 版本和加密設定。

關於此作業

請考慮變更加密模式的下列含意。

  • 不支援從相容性安全性模式或標準安全性模式變更為企業嚴格安全性模式。

  • 當您從相容性安全性模式升級到標準安全性模式時,如果匯入的憑證或 SSH 公用金鑰不符合標準,您會收到警告,但仍然可以升級到標準安全性模式。

  • 如果從企業嚴格安全性模式降級到相容性安全性模式或標準安全性模式:

    • 伺服器會自動重新啟動以使安全性模式生效。

    • 如果 XCC2 上的嚴格模式 FoD 金鑰遺失或過期,而且 XCC2 使用自簽 TLS 憑證,則 XCC2 會根據符合標準嚴格規格的演算法重新產生自簽 TLS 憑證。XClarity Administrator 因憑證錯誤出現連線失敗。若要解決不受信任的憑證錯誤,請參閱解決不受信任的伺服器憑證。如果 XCC2 使用自訂 TLS 憑證,則 XCC2 允許降級,而且會警告您需要匯入基於標準安全性模式加密法的伺服器憑證。

  • 配備 XCC2 的伺服器不支援 NIST SP 800-131A 模式。
  • 當 XCC 的安全性模式設定為 TLS v1.3 時,無法使用受管理鑑別管理 ThinkSystem 或 ThinkAgile 伺服器。
  • 對於使用受管理鑑別管理的 ThinkSystem 或 ThinkAgile 伺服器,使用 XClarity Administrator 或 XCC 將 XCC 的安全性模式變更為 TLS v1.3 將導致伺服器離線。
您可以變更下列裝置的安全性設定。
  • 配備 Intel 或 AMD 處理器的 Lenovo ThinkSystem 伺服器(SR635/SR655 除外)
  • Lenovo ThinkSystem V2 伺服器
  • 配備 Intel 或 AMD 處理器的 Lenovo ThinkSystem V3 伺服器
  • Lenovo ThinkEdge SE350/SE450 伺服器
  • Lenovo System x 伺服器

程序

若要變更特定受管理伺服器的安全性設定,請完成下列步驟。

  1. XClarity Administrator 功能表上按一下硬體 > 伺服器伺服器頁面會顯示所有受管理伺服器的表格檢視。
  2. 選取一部或多部伺服器。
  3. 配置安全性模式。

    1. 按一下所有動作 > 安全性 > 設定系統安全性模式,以顯示設定系統安全性模式對話框。

      該對話框列出了可以設定為每種模式的伺服器數量。將滑鼠游標停放在每個數字上,將顯示含有適用伺服器名稱清單的快顯視窗。

    2. 選取安全性模式。這可能是下列其中一個值。

      • 相容性安全性。當服務和用戶端需要不符合 CNSA/FIPS 標準的加密法時,請選取此模式。此模式支援廣泛的加密演算法,並允許啟用所有服務。

      • NIST SP 800-131A。請選取此模式以確定符合 NIST SP 800-131A 標準。這包括將 RSA 金鑰限制為 2048 位元或更大,將用於數位簽章的雜湊限制為 SHA-256 或更長,並確定只使用 NIST 核准的對稱加密演算法。此模式需要將 SSL/TLS 模式設定為 TLS 1.2 伺服器用戶端

        配備 XCC2 的伺服器支援此模式。

      • 標準安全性。(僅限配備 XCC2 的伺服器)這是配備 XCC2 的伺服器的預設安全性模式。請選取此模式以確定符合 FIPS 140-3 標準。為了使 XCC 在 FIPS 140-3 驗證模式下運作,只能啟用支援 FIPS 140-3 級加密法的服務。不支援 FIPS 140-2/140-3 級加密法的服務預設為停用,但可視需要啟用。如果啟用了任何使用非 FIPS 140-3 級加密法的服務,XCC 將無法在 FIPS 140-3 驗證模式下運作。此模式需要 FIP 層級憑證。

      • 企業嚴格安全性。(僅限配備 XCC2 的伺服器)這是最安全的模式。請選取此模式以確定符合 CNSA 標準。僅允許支援 CNSA 層級加密法的服務。非安全服務預設為停用,而且無法啟用。此模式需要 CNSA 層級憑證。

        XClarity Administrator 會對採用企業嚴格安全性模式的伺服器使用 RSA-3072/SHA-384 憑證簽章。

        重要

        • 要使用此模式,必須在每個選取的配備 XCC2 的伺服器上安裝 XCC2 Feature On Demand 金鑰。

        • 在此模式下,如果 XClarity Administrator 使用自簽憑證,則 XClarity Administrator 必須使用基於 RSA3072/SHA384 的主要憑證和伺服器憑證。如果 XClarity Administrator 使用外部簽署憑證,則 XClarity Administrator 必須產生基於 RSA3072/SHA384 的 CSR,並聯絡外部 CA 以簽署基於 RSA3072/SHA384 的新伺服器憑證。

        • XClarity Administrator 使用基於 RSA3072/SHA384 的憑證時,XClarity Administrator 可能會中斷與裝置的連線,但下列裝置除外:Flex System 機箱 (CMMS) 和伺服器、ThinkSystem 伺服器、ThinkServer 伺服器、System x M4 和 M5 伺服器、Lenovo ThinkSystem DB 系列交換器、Lenovo RackSwitch、Flex System 交換器、Mellanox 交換器、ThinkSystem DE/DM 儲存裝置、IBM 磁帶庫儲存體,以及使用低於 22C 的韌體刷新的 ThinkSystem SR635/SR655 伺服器。若要繼續管理中斷連線的裝置,請設定另一個採用基於 RSA2048/SHA384 的憑證的 XClarity Administrator 實例。

    3. 按一下套用

  4. 配置最低 TLS 版本。

    1. 按一下所有動作 > 安全性 > 設定系統 TLS 版本,以顯示設定系統 TLS 版本對話框。

    2. 選取供用戶端與其他伺服器連線(例如 LDAP 用戶端與 LDAP 伺服器連線)所使用的最低 TLS 通訊協定版本。該值會在支援此設定的選定裝置上配置。您可以選擇下列選項。

      • TLS1.2。強制使用 TLS v1.2 加密法通訊協定。
      • TLS1.3。強制使用 TLS v1.3 加密法通訊協定。
      System x 和 CMM 裝置僅支援 TLS v1.2。

    3. 按一下套用