暗号化モード設定

暗号化の設定オプションを使用して、アプライアンスの暗号化モードを設定できます。使用可能な暗号化モードは、次のとおりです。
  • レガシー:これはデフォルトの暗号化モードです。レガシーモードでは、すべてのTLSプロトコルバージョン(1.1、1.2)とそれらのバージョンに関連付けられている暗号スイートがサポートされています。TLS証明書には、FIPSまたはCNSA最小キー長も強力なデジタル署名も必要ありません。

  • FIPS:Federal Information Processing Standard(連邦情報処理標準)(FIPS)Publication 140-2は、暗号化を実行する製品用の米国政府のコンピューターセキュリティ規格です。FIPS 140-2 Cryptographic Module Validation ProgramによってHPE OneViewの暗号化ライブラリが検証されています。FIPSモードの場合:
    • アプライアンスの暗号モジュールは、FIPS 140-2レベル1仕様に従って動作するように構成されます。この設定により、これらの暗号モジュールのロード中に必要なFIPSセルフテストが実行されます。

    • アプライアンスによって暗号化操作に使用される暗号およびアルゴリズムは、FIPSで承認されるもののみに制限されます。

    • アプライアンスは、すべてのTLS通信で、TLS 1.1およびTLS 1.2プロトコルのみ許可されます。

    • すべてのSSHおよびSNMPv3通信では、FIPSで承認された暗号スイートとアルゴリズムのみを使用します。

    詳しくは、FIPS-140のサイトを参照してください。

  • CNSA:Commercial National Security Algorithm(CNSA)暗号化モードでは、HPE OneViewでCNSAスイートに含まれているアルゴリズムのみを使用するように制限されます。CNSAスイートは、FIPSの全般的なサポートのサブセットであり、「トップシークレット」として分類される情報を含む国家的セキュリティシステムを保護するために使用される一連のアルゴリズムを含んでいます。CNSAモードでは、アプライアンスは、TLS 1.2プロトコルとCNSA強度のTLS 1.2暗号のサブセットのみを使用します。同様に、SSHおよびSNMP通信ではCNSA準拠の暗号およびアルゴリズムを使用します。

    詳しくは、CNSA standardsのサイトを参照してください。このWebサイトでは、ほとんどのブラウザーのトラストストアにデフォルトで存在しない米国政府認証機関によって署名された証明書を使用しています。このWebサイトとの信頼の確立について詳しくは、サイトの信頼関係の確立を参照してください。

注記:
  • HPE OneViewのバージョン4.0より前のリリースでは、ローカルユーザーパスワードがSHA256を使用してハッシュされます。リリースバージョン4.0以降では、アプライアンスの暗号化モードに関係なく、ユーザーが初めてログインすると、パスワードがSHA384として再ハッシュされ、保存されます。

  • 管理対象サーバーのiLOがCNSAモードの場合、iLOユーザーインターフェイスまたはコンソールにHPE OneViewコンソールのユーザーインターフェイスからアクセスできません。

  • アプライアンスがCNSAモードの場合、サポート技術者はHPE RDAサポートアプリを使用してSSHセッションを確立できません。

レガシー、FIPS、およびCNSAモードでサポートされるすべての暗号とアルゴリズムの一覧については、HPE OneViewユーザーガイドにある"アプライアンスをセキュリティで保護するためのアルゴリズム"を参照してください。

インストールシナリオとモード切り替え時のデフォルトの動作は次のとおりです。
新規インストール

アプライアンスのデフォルトはレガシーモードです。HPE OneView 5.2以降、TLSプロトコルバージョン1.0は新規インストールではデフォルトで無効になっています。

アップグレード

アップグレード前のアプライアンスの暗号化モードは、アップグレード後も保持されます。アプライアンスの以前のバージョンからHPE OneView 5.2以降のバージョンにアップグレードする場合、アップグレード前のアプライアンスのTLS 1.0構成が、アップグレード後のアプライアンスで保持されます。

工場出荷時設定へのリセット

工場出荷時リセットまたはネットワーク設定の保存オプションでは、暗号化モードは変更されません。リセットの前のアプライアンスの暗号化モードが保持されます。セキュリティ設定パネルで、暗号化設定が必要なモードに設定されていることを確認します。新しくインストールしたアプライアンスで工場出荷時設定に完全にリセットすると、TLS 1.0バージョンが無効になります。アップグレード後の5.2アプライアンスで工場出荷時設定にリセットすると、以前の工場出荷時設定が保持され、TLS 1.0構成が有効になります。ネットワーク設定を使用した工場出荷時設定へのリセットでは、リセットする前のTLS 1.0構成が保持されます。

バックアップとリストア

リストア操作は、アプライアンスを、バックアップされたアプライアンスと同じ暗号化モードにリストアします。

FIPSまたはCNSAモードで動作するHPE OneViewでは、HPE OneViewによって管理または監視されるすべてのシステムまたはデバイス(ブレードiLOなど)またはHPE OneViewと通信する外部サーバー(Microsoft Active Directory Serverなど)もFIPSまたはCNSAで承認されたモードでのみ動作する必要はありません。ただし、HPE OneViewが、これらの管理対象または監視対象デバイスや外部サーバーと、選択したモードでサポートされているプロトコルと暗号スイートを使用して通信できる必要があります。例えば、デバイスがFIPS準拠のTLSプロトコル、暗号、および証明書をサポートする限り、FIPSまたはCNSAモードのHPE OneViewはそのデバイスを管理できます。

リストア操作は、バックアップされたアプライアンスと同じTLS 1.0構成(有効または無効)にアプライアンスをリストアします。

各種デバイスのサポートとサポートされる暗号化モードについては、HPE OneViewサポートマトリックスを参照してください。

さらに、高度な暗号化モードを使用するには、すべてのTLS通信に強力な証明書を使用する必要があります。例えば、CNSAモードでは、RSA証明書を使用する管理対象デバイスで、3072ビットの最小キー長とSHA 384以上を使用するデジタル署名が必要です。

HPE OneViewによって管理または監視されるすべてのデバイスで、これらの強力な暗号化モードをサポートしているとは限りません。次のような場合が考えられます。
  • ProLiant G6システムのiLOバージョンはTLS 1.0のみをサポートしているため、TLS 1.0が無効になっている場合、これらは機能しません。アプライアンスがFIPSまたはCNSAモードの場合、これらのサーバーはサポートされません。レガシーモードでも、TLS 1.0はデフォルトで無効になっているため、これらのサーバーは新しくインストールしたHPE OneView 5.2バージョンでもサポートされていません。HPE OneView 5.2バージョンからサーバーを管理する場合は、TLS 1.0をレガシーモードで明示的に有効にする必要があります。

  • ProLiant G7システムのiLOバージョンは、TLS 1.0および1.1のみをサポートします。アプライアンスがCNSAモードの場合、これらのサーバーはサポートされません。

  • ProLiant Gen8 システムのiLOバージョンは、TLS 1.1および1.2をサポートしているため、FIPSモードとCNSAモードの両方と互換性があります。

  • HPE iPDU電源デバイスはTLS 1.0のみをサポートしているため、TLS 1.0が無効になっている場合、これらは機能しません。アプライアンスがFIPSまたはCNSAモードの場合、IPDUはサポートされません。

    TLS 1.0のみをサポートする外部サーバー、他社製デバイス、またはデバイスマネージャーは、新しくインストールされたHPE OneView 5.2バージョンでは機能しません。これは、HPE OneView 5.2ではTLS 1.0がデフォルトで無効になっているためです。

次のREST APIを使用して、TLS 1.0バージョンを有効または無効にすることができます。

PUT/rest/security-standards/protocols
注記:

TLS 1.0は安全なプロトコルとは見なされないため、Hewlett Packard EnterpriseはTLS 1.0を有効にしないことをお勧めします。TLSプロトコルの有効化/無効化を行うと、アプライアンスが自動的に再起動します。

高度なセキュリティモードを選択する場合は、互換性レポートオプションを使用して、ターゲットモードと互換性がない現在のすべての管理対象または監視対象デバイスについての完全なレポートを取得します。

注記:

暗号化モードを変更すると、WebサーバーまたはRabbitMQ証明書が再生成される場合があります。新しく生成されたRabbitMQクライアント証明書をCAおよびキーペアと共に、RabbitMQクライアントに適用する必要があります。CA署名付き証明書を使用する場合、新しい証明書署名リクエスト(CSR)を発行し、より強力な証明書を取得して、アプライアンスに証明書を再インポートしなければならない可能性があります。互換性レポートで詳細を確認してください。アプライアンスは、アプライアンスの構成の一環として、別の暗号化モードで自動的に再起動します。

暗号化モードの編集画面から既存の互換性レポートを表示および編集できます。指定の暗号化モードについての新しい互換性レポートを生成することで、アプライアンスへのモード変更の影響を確認できます。

暗号化モードの編集画面では、既存の互換性レポートを表示し、アクティブな暗号化モードを変更することができます。指定の暗号化モードについての新しい互換性レポートを生成することで、アプライアンスへのモード変更の影響を確認できます。