跳到主要内容

安全模式

本主题提供了有关安全模式的概述。

XCC Standard 许可证支持用户采用以下两种安全模式之一来配置其服务器:标准模式和兼容模式。这两种模式在所有 V3 服务器中都可用。

Lenovo XClarity Controller 2 Platinum 升级许可证提供第三种安全模式:企业严格模式。这种模式最适合于高级别的安全需求。

默认情况下,XCC 使用 ECDSA 自签名证书,并且仅可以使用基于 ECDSA 的算法。要使用基于 RSA 的证书,请生成 CSR 并使用内部或外部 CA 进行签名,然后将已签名的证书导入 XCC。
企业严格安全模式
  • 企业严格安全模式是最为安全的模式。

  • BMC 在 FIPS 140-3 验证模式下运行。

  • 需要企业严格等级证书。

  • 仅允许使用支持企业严格级别加密的服务。

  • 需要 Lenovo XClarity Controller 2 Platinum 升级许可证才能启用。

  • 可以使用 CNSA 加密算法。

标准安全模式
  • 标准模式是默认的安全模式。

  • BMC 使用的所有加密算法均符合 FIPS 140-3。

  • BMC 在 FIPS 140-3 验证模式下运行。

  • 需要标准等级证书。

  • 默认禁用需要加密但不支持标准级别加密的服务。

  • 安装 Lenovo XClarity Controller 2 Platinum 升级许可证时,可以使用 CNSA 算法。

兼容模式
  • 兼容模式是在服务和客户端需要不符合企业严格/标准安全模式要求的加密时使用的模式。

  • 支持更广泛的加密算法。

  • 启用此模式时,BMC 不在 FIPS 140-3 验证模式下运行。

  • 允许启用所有服务。

  • 支持各种密码套件,以实现最大的兼容性。

支持的 TLS 密码套件

TLS 加密设置用于限制 BMC 服务所支持的 TLS 密码套件。
TLS 密码套件安全模式TLS 版本
TLS_AES_256_GCM_SHA384
  • 企业严格
  • 标准*
  • 兼容*
TLS 1.3
TLS_CHACHA20_POLY1305_SHA256
  • 兼容
TLS 1.3
TLS_AES_128_GCM_SHA256
  • 标准
  • 兼容
TLS 1.3
TLS_AES_128_CCM_8_SHA256
  • 标准
  • 兼容
TLS 1.3
TLS_AES_128_CCM_SHA256
  • 标准
  • 兼容
TLS 1.3
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • 企业严格
  • 标准*
  • 兼容*
TLS 1.2
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • 企业严格
  • 标准*
  • 兼容*
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • 企业严格
  • 标准*
  • 兼容*
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • 标准
  • 兼容
TLS 1.2
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
  • 兼容
TLS 1.2
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • 标准
  • 兼容
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • 标准
  • 兼容
TLS 1.2
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
  • 兼容
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • 兼容
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • 兼容
TLS 1.2
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • 兼容
TLS 1.2
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • 兼容
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • 兼容
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • 兼容
TLS 1.2
表中列出的带星号(*)的安全模式需要具有 Lenovo XClarity Controller 2 Platinum 升级许可证才能使用。
三种安全模式下的服务列表

功能/服务

使用加密

默认状态开箱即用

在严格模式下受支持

在标准模式下受支持

在兼容模式下受支持

IPMI-over-KCS

已启用

IPMI-over-LAN

已禁用

SNMPv1 陷阱

未配置

SNMPv3 陷阱

未配置

如果启用,会在使用非 FIPS 加密时发出警报

SNMPv3 代理

未配置

如果启用,会在使用非 FIPS 加密时发出警报

电子邮件警报

未配置

无法在使用 CRAM-MD5 认证时启用

如果需要 CRAM-MD5,会在使用非 FIPS 加密时发出警报。

Syslog 警报

未配置

TLS 1.2

已启用

TLS 1.3

已启用

Web over HTTPS

已启用

Redfish over HTTPS

已启用

SSDP

已启用

SSH-CLI

已启用

SFTP

已禁用

LDAP

未配置

安全 LDAP

未配置

安全密钥管理

未配置

远程控制台

已启用

虚拟介质 - CIFS

未配置

虚拟介质 - NFS

未配置

虚拟介质 - HTTPFS

未配置

RDOC - 本地

未配置

RDOC - CIFS

未配置

RDOC - HTTP

未配置

RDOC - HTTPS

未配置

RDOC - FTP

未配置

RDOC - SFTP

未配置

FFDC 上传(SFTP)

已启用

FFDC 上传(TFTP)

已启用

从存储库更新 - CIFS

未配置

从存储库更新 - NFS

未配置

从存储库更新 - HTTP

未配置

从存储库更新 - HTTPS

未配置

Call Home

已禁用

第三方密码

未配置

端口转发

不适用

已禁用