ilo加密算法介绍
iLO 可以在分布式 IT 环境中提高远程管理安全性。 将通过 SSL 加密保护 Web 浏览器数据。 通过对 HTTP 数据进行 SSL 加密,可以确保在网络上传输的数据安全可靠。 iLO 支持以下密码强度:
-
256 位 AES 及 RSA、DHE 和 SHA1 MAC
-
256 位 AES 及 RSA 和 SHA1 MAC
-
128 位 AES 及 RSA、DHE 和 SHA1 MAC
-
128 位 AES 及 RSA 和 SHA1 MAC
-
168 位 3DES 及 RSA 和 SHA1 MAC
-
168 位 3DES 及 RSA、DHE 和 SHA1 MAC
iLO 还可以通过 SSH 端口增强加密以保护 CLP 事务安全。 iLO 通过 SSH 端口支持 AES256-CBC、AES128-CBC 和 3DESCBC 密码强度。
如果启用,则 iLO 在安全通道(包括通过浏览器、SSH 端口和 XML 端口的安全 HTTP 传输)上强制使用这些增强的密码(AES 和 3DES)。 如果启用了 AES/3DES 加密,则使用的密码强度必须大于或等于 AES/3DES 才能通过这些安全通道连接到 iLO。 AES/3DES 加密实施设置不影响通过不太安全的通道进行的通信和连接。
默认情况下,远程控制台数据使用 128 位 RC4 双向加密。 HPQLOCFG 实用程序使用 128 位 RC4 以及 160 位 SHA1 和 2048 位 RSAKeyX 加密,将 RIBCL 脚本通过网络安全地发送到 iLO。
iLO 4 固件 1.20 和更高版本支持 FIPS 模式。
iLO 4 固件支持 FIPS 模式。
在本文和 iLO 中,FIPS 模式术语用于描述功能,而不是它的验证状态。
-
FIPS 是一组规定由美国政府机构和承包商使用的标准。
-
iLO 4 1.20 和更高版本中的 FIPS 模式旨在满足 FIPS 140-2 级别 1 的要求。 该版本或任何其它版本的 iLO 固件可能具有该功能,但可能通过了 FIPS 验证,也可能未通过验证。 FIPS 验证过程需要很长时间,因此,并未验证所有 iLO 固件版本。
有关该版本或任何其它版本的 iLO 固件的当前 FIPS 状态的信息,请访问以下网站:https://www.hpe.com/info/government-certifications。
查看加密实施设置
导航到管理 → 安全性 → 加密页。
加密设置页显示当前的 iLO 加密设置。
-
当前协商的密码 – 当前浏览器会话中使用的密码。 在通过浏览器登录到 iLO 后,浏览器和 iLO 将协商在会话期间使用的密码设置。
-
加密实施设置 – 当前的 iLO 加密设置。
-
FIPS 模式 – 指示是为该 iLO 系统启用还是禁用 FIPS 模式。
-
实施 AES/3DES 加密 – 指示是否为该 iLO 实施 AES/3DES 加密。
如果启用,iLO 仅接受使用 AES 或 3DES 密码的连接。
-
修改 AES/DES 加密设置
您必须具有“配置 iLO 设置”权限才能更改加密设置。
-
导航到管理 → 安全性 → 加密页。
-
将实施 AES/3DES 加密设置更改为已启用或已禁用。
-
单击应用以终止浏览器连接并重新启动 iLO。
可能需要几分钟的时间才能重新建立连接。
在将实施 AES/3DES 加密设置更改为已启用时,单击应用,然后关闭所有打开的浏览器。 任何保持打开状态的浏览器可能会继续使用非 AES/3DES 密码。
使用 AES 或 3DES 加密连接到 iLO
在启用实施 AES/3DES 加密设置后,iLO 要求您至少使用 AES 或 3DES 密码强度通过安全通道(Web 浏览器、SSH 连接或 XML 通道)进行连接。
-
Web 浏览器 – 必须至少为浏览器配置 AES 或 3DES 密码强度。 如果浏览器未使用 AES 或 3DES 密码,iLO 将显示一条错误消息。 错误消息文本将因安装的浏览器而异。
不同的浏览器使用不同的方法选择协商的密码。 有关详细信息,请参阅浏览器文档。 在更改浏览器密码设置之前,必须通过当前浏览器注销 iLO。 如果在登录到 iLO 后对浏览器密码设置进行任何更改,则浏览器可能会继续使用非 AES/3DES 密码。
-
SSH 连接 – 有关设置密码强度的说明,请参阅 SSH 实用程序文档。
-
XML 通道 – 默认情况下,HPQLOCFG 使用安全 3DES 密码。 例如,HPQLOCFG 在 XML 输出中显示以下密码强度:
Connecting to Server... Negotiated cipher: 128–bit Rc4 with 160–bit SHA1 and 2048–bit RsaKeyx
启用 FIPS 模式
您必须具有“配置 iLO 设置”权限才能更改加密设置。
-
可选:使用 HPONCFG 捕获当前 iLO 配置。
有关详细信息,请参阅 iLO 脚本和命令行指南。
-
确认安装了受信任的证书。
在 FIPS 模式下将 iLO 与默认自签名证书一起使用不符合 FIPS 标准。 有关详细信息,请参阅“获取和导入 SSL 证书”。
重要信息: iLO 的某些接口(如支持的 IPMI 和 SNMP 版本)不符合 FIPS 标准,并且无法使其符合 FIPS 标准。
-
关闭服务器。
-
导航到管理 → 安全性 → 加密页。
-
将 FIPS 模式设置为已启用。
小心: 启用 FIPS 将重置为 iLO 出厂默认设置,并清除所有用户和许可证数据。
-
单击应用。
iLO 将提示您确认该请求。
-
单击 OK 以确认启用 FIPS 模式的请求。
iLO 将在 FIPS 模式下重新引导。 在尝试重新建立连接之前,请等待至少 90 秒。
-
可选:使用 HPONCFG 恢复 iLO 配置。
有关详细信息,请参阅 iLO 脚本和命令行指南。
提示: 可以使用登录安全性标题功能通知 iLO 用户,系统正在使用 FIPS 模式。 有关详细信息,请参阅“配置登录安全性标题”。
也可以使用 XML 配置和控制脚本启用 FIPS 模式。 有关详细信息,请参阅 iLO 脚本和命令行指南。
禁用 FIPS 模式
如果要为 iLO 禁用 FIPS 模式(例如,在停用服务器时),必须将 iLO 重置为出厂默认设置。 您可以使用 RIBCL 脚本、iLO RBSU 或 iLO 4 Configuration Utility 执行该任务。
有关说明,请参阅 iLO 用户指南或 iLO 脚本和命令行指南。
在禁用 FIPS 模式时,将清除所有潜在的敏感数据,包括所有日志和设置。
声明: 除非转自他站(如有侵权,请联系处理)外,本文采用 BY-NC-SA 协议进行授权 | 智乐兔
转载请注明:转自《ilo加密算法介绍》
本文地址:https://www.zhiletu.com/archives-8318.html
关注公众号:
微信赞赏
支付宝赞赏
鲁公网安备 37011302000311号
