加密模式设置

可使用加密设置选项配置设备的加密模式。可用的加密模式包括:
  • 传统:这是默认加密模式。在传统模式下,支持所有 TLS 协议版本(1.1 和 1.2)以及这些版本的关联密码套件。TLS 证书无需满足 FIPS 或 CNSA 最小密钥长度,也不需要严格的数字签名。

  • FIPS:美国联邦信息处理标准 (FIPS) Publication 140-2 是美国政府为执行加密的产品制定的计算机安全标准。FIPS 140-2 加密模块验证体系已验证 HPE OneView 的加密库。当处于 FIPS 模式下时:
    • 设备的加密模块配置为依照 FIPS 140-2 级别 1 规范运行。此设置确保在加载这些加密模块时运行所需的 FIPS 自检。

    • 设备仅限使用经 FIPS 批准的那些密码和算法进行加密操作。

    • 设备仅允许将 TLS 1.1 和 TLS 1.2 协议用于所有 TLS 通信。

    • 所有 SSH 和 SNMPv3 通信仅使用经 FIPS 批准的密码套件和算法。

    有关其他信息,请访问 FIPS-140 站点。

  • CNSA:商业国家安全算法 (CNSA) 加密模式限定 HPE OneView 仅使用 CNSA 套件中包括的那些算法。CNSA 套件是通用 FIPS 支持功能的一个子集,其中包括一组用于保护国家安全系统(包括定为“绝密”的信息)的算法。在 CNSA 模式下,设备仅使用 TLS 1.2 协议以及 TLS 1.2 密码的一个子集,而该子集与 CNSA 为同等强度。与此类似,SSH 和 SNMP 通信使用符合 CNSA 标准的密码和算法。

    有关其他信息,请访问 CNSA 标准站点。此网站使用一个由美国政府证书颁发机构签署的证书,而默认情况下大多数浏览器信任存储中均不存在该证书。有关与该网站建立信任关系的详细信息,请参阅建立站点信任关系

注意:
  • 在 HPE OneView 4.0 版之前,本地用户密码均采用 SHA256 进行哈希处理。从 4.0 版开始,在用户首次登录时,无论设备采用何种加密模式,都会重新对密码进行哈希处理并存储为 SHA384。

  • 当管理的服务器的 iLO 处于 CNSA 模式下时,无法从 HPE OneView 控制台用户界面中访问 iLO 用户界面或控制台。

  • 在设备处于 CNSA 模式时,支持技术人员无法使用 HPE RDA 支持应用程序建立 SSH 会话。

有关在传统、FIPS 和 CNSA 模式下支持的密码和算法的完整列表,请参阅HPE OneView 用户指南中的“用于保护设备的算法和密码”。

安装方案以及模式切换期间的默认行为如下:
全新安装

设备默认采用传统模式。从 HPE OneView 5.2 和更高版本开始,默认为新安装禁用 TLS 协议 1.0 版。

升级

在升级后,将保留升级之前的设备加密模式。如果从以前的设备版本升级到 HPE OneView 5.2 和更高版本,将在升级的设备中保留升级之前的设备的 TLS 1.0 配置。

出厂重置

出厂重置或“保留网络设置”选项不改变加密模式。而是保留设备在重置前的加密模式。在安全性设置面板中验证是否将加密设置设为所需的模式。新安装的设备上的完全出厂重置将禁用 TLS 1.0 版。升级的 5.2 设备上的出厂重置将保留以前的出厂设置,并启用 TLS 1.0 配置。具有网络设置的出厂重置将保留重置之前的 TLS 1.0 配置。

备份和恢复

恢复操作将设备恢复为与备份的设备相同的加密模式。

要在 FIPS 或 CNSA 模式下运行 HPE OneView,不要求 HPE OneView 管理或监视的所有系统或装置(如刀片 iLO)或与 HPE OneView 通信的外部服务器(如 Microsoft Active Directory 服务器)也仅在 FIPS 或 CNSA 批准的模式下运行。但是,HPE OneView 必须能够用所选模式支持的协议和密码套件与这些管理或监视的装置以及外部服务器进行通信。例如,只要装置支持符合 FIPS 标准的 TLS 协议、密码和证书,处于 FIPS 或 CNSA 模式下的 HPE OneView 即可管理该装置。

恢复操作将设备恢复为与备份的设备相同的 TLS 1.0 配置(启用或禁用)。

有关支持的各种装置和支持的加密模式的信息,请参阅HPE OneView 支持表

此外,使用更严格的加密模式还要求对所有 TLS 通信使用更可靠的证书。例如,在 CNSA 模式下,使用 RSA 证书的管理的装置需要 3072 位的最小密钥长度以及使用 SHA-384 或更复杂算法的数字签名。

并非 HPE OneView 管理或监视的所有装置都支持这些更可靠的加密模式。某些示例如下:
  • ProLiant G6 系统具有仅支持 TLS 1.0 的 iLO 版本,并在禁用 TLS 1.0 时无法正常工作。当设备处于 FIPS 或 CNSA 模式时,不支持这些服务器。即使在传统模式下,在新安装的 HPE OneView 5.2 版本上也不支持这些服务器,因为默认禁用 TLS 1.0。如果要从 HPE OneView 5.2 版中管理服务器,必须在传统模式下明确启用 TLS 1.0。

  • ProLiant G7 系统具有仅支持 TLS 1.0 和 1.1 的 iLO 版本。当设备处于 CNSA 模式时,不支持这些服务器。

  • ProLiant Gen8 系统的 iLO 版本支持 TLS 1.1 和 1.2,并同时与 FIPS 和 CNSA 模式兼容。

  • HPE iPDU 电源装置仅支持 TLS 1.0,它们在禁用了 TLS 1.0 时无法正常工作。在设备处于 FIPS 或 CNSA 模式时,不支持 iPDU。

    任何仅支持 TLS 1.0 的外部服务器、第三方装置或装置管理器在新安装的 HPE OneView 5.2 版上无法正常工作。这是因为在 HPE OneView 5.2 中默认禁用 TLS 1.0。

您可以使用以下 REST API 启用或禁用 TLS 1.0 版。

PUT/rest/security-standards/protocols
注意:

Hewlett Packard Enterprise 建议您不要启用 TLS 1.0,因为不再将其视为安全协议。启用或禁用 TLS 协议将自动重新引导设备。

当选择更严格的安全模式时,请使用兼容性报告选项获取任何当前管理或监视的与目标模式不兼容的装置的完整报告。

注意:

更改加密模式可能会重新生成 Web 服务器或 RabbitMQ 证书。必须将新生成的 RabbitMQ 客户端证书与 CA 和密钥对一起应用于 RabbitMQ 客户端。在使用 CA 签名的证书时,您可能需要发出新的证书签名请求 (CSR),获取更强的证书,然后将该证书重新导入到您的设备中。有关详细信息,请检查兼容性报告。将设备配置为不同的加密模式期间,设备将自动重新引导。

您可以从编辑加密模式屏幕中查看和编辑现有的兼容性报告。通过为给定加密模式生成新的兼容性报告,您可以了解模式更改对设备的影响。

编辑加密模式屏幕可以帮助您查看现有的兼容性报告,以及更改活动加密模式。通过为给定加密模式生成新的兼容性报告,您可以了解模式更改对设备的影响。