关于加密模式设置

可使用加密设置选项配置装置的加密模式。可用的加密模式包括:
  • 传统:这是默认加密模式。在传统模式下,支持所有 TLS 协议版本(1.0、1.1 和 1.2)以及与这些版本关联的密码套件。TLS 证书无需满足 FIPS 或 CNSA 最小密钥长度,也不需要严格的数字签名。

  • FIPS:美国联邦信息处理标准 (FIPS) Publication 140-2 是美国政府为执行加密的产品制定的计算机安全标准。FIPS 140-2 加密模块验证体系已验证 HPE OneView 的加密库。当处于 FIPS 模式下时:
    • 装置的加密模块配置为依照 FIPS 140-2 级别 1 规范运行。此设置确保在加载这些加密模块时运行所需的 FIPS 自检。

    • 装置仅限使用经 FIPS 批准的那些密码和算法进行加密操作。

    • 装置仅允许将 TLS 1.1 和 TLS 1.2 协议用于所有 TLS 通信

    • 所有 SSH 和 SNMPv3 通信仅使用经 FIPS 批准的密码套件和算法。

    有关其他信息,请访问 FIPS-140 站点。

  • CNSA:商业国家安全算法 (CNSA) 加密模式限定 HPE OneView 仅使用 CNSA 套件中包括的那些算法。CNSA 套件是常规 FIPS 支持功能的一个子集,其中包括一组用于保护国家安全系统(包括定为“绝密”的信息)的算法。在 CNSA 模式下,装置仅使用 TLS 1.2 协议以及 TLS 1.2 密码的一个子集,而该子集与 CNSA 为同等强度。与此类似,SSH 和 SNMP 通信使用符合 CNSA 标准的密码和算法。

    有关其他信息,请访问 CNSA 标准站点。此网站使用一个由美国政府证书颁发机构签署的证书,而默认情况下大多数浏览器信任存储中均不存在该证书。有关与此网站建立信任的详细信息,请参阅建立站点信任

注意:
  • 在 HPE OneView 4.0 版之前,本地用户密码均采用 SHA256 进行哈希处理。从 4.0 版开始,在用户首次登录时,无论装置采用何种加密模式,都会重新对密码进行哈希处理并存储为 SHA384。

  • 当受管服务器的 iLO 处于 CNSA 模式下时,无法从 HPE OneView 控制台用户界面中访问 iLO 用户界面或控制台。

有关在传统、FIPS 和 CNSA 模式下支持的密码和算法的完整列表,请参阅 Hewlett Packard Enterprise 信息库中的《HPE OneView 用户指南》的“用于保护装置的算法和密码”

安装方案以及模式切换期间的默认行为如下:
全新安装

装置默认采用传统模式。

升级

升级后保留装置在升级前的加密模式。对于自不支持加密模式的版本升级而来的装置,升级后会将该装置配置为传统模式。

出厂重置

出厂重置或“保留网络设置”选项不改变加密模式。而是保留装置在重置前的加密模式。确认在安全性设置面板中将“加密设置”设置为所需的模式。

备份和还原

还原操作将该装置还原为与备用装置相同的加密模式。

要让 HPE OneView 在 FIPS 或 CNSA 模式下运行,所有受 HPE OneView 管理或监视的系统或设备(例如,刀片 ILO)或与 HPE OneView 进行通信的外部服务器(例如,MicroSoft Active Directory Server)不必也仅在 FIPS 或 CNSA 批准的模式下运行。但是,HPE OneView 必须能够用所选模式支持的协议和密码套件与这些管理或监视的设备以及外部服务器进行通信。例如,只要设备支持符合 FIPS 标准的 TLS 协议、密码和证书,处于 FIPS 或 CNSA 模式下的 HPE OneView 即可管理该设备。

有关支持各种不同的设备和支持的加密模式的信息,请参阅 Hewlett Packard Enterprise 信息库中的《HPE OneView 支持表》。

此外,使用更严格的加密模式还要求对所有 TLS 通信使用更可靠的证书。例如,在 CNSA 模式下,使用 RSA 证书的受管设备需要 3072 位的最小密钥长度以及使用 SHA-384 或更复杂算法的数字签名。

并非 HPE OneView 管理或监视的所有设备都支持这些更可靠的加密模式。一些示例如下:
  • ProLiant Gen 6 系统的 iLO 版本仅支持 TLS 1.0。当装置处于 FIPS 或 CNSA 模式时,不支持这些服务器。

  • Gen7 系统的 iLO 版本仅支持 TLS 1.0 和 1.1。当装置处于 CNSA 模式时,不支持这些服务器。

  • ProLiant Gen8 系统的 iLO 版本支持 TLS 1.1 和 1.2,并同时与 FIPS 和 CNSA 模式兼容。

当选择更严格的安全模式时,请使用兼容性报告选项获取任何当前管理或监视的与目标模式不兼容的设备的完整报告。

注意:

更改加密模式可能会重新生成 Web 服务器或 RabbitMQ 证书。必须将新生成的 RabbitMQ 客户端证书与 CA 和密钥对一起应用于 RabbitMQ 客户端。在使用 CA 签署的证书时,可能需要发出新的证书签名请求 (CSR),获取更可靠的证书,然后将该证书重新导入到装置中。有关详细信息,请检查兼容性报告。将装置配置为不同的加密模式期间,装置将自动重新引导。