Minimální požadavky na certifikáty SSL a TLS nástroje Dell Security Management Server a Virtual Server
Shrnutí: Tento dokument má zákazníkům pomoci s minimálními požadavky na vyžádání certifikátů SSL/TLS pro použití serverem Dell Data Security.
Pokyny
Dotčené produkty:
- Dell Security Management Server
- Dell Data Protection | Enterprise Edition
- Dell Security Management Server Virtual
- Dell Data Protection | Virtual Edition
Nástroj Dell Data Security nabízí pohodlí při vytváření a používání certifikátu podepsaného svým držitelem pro bezpečnou komunikaci mezi serverem a klienty. Stejně jako u všech certifikátů podepsaných svým držitelem je však při výběru typu certifikátu, který se má použít, důležité aspekty zabezpečení.
Pro zvýšení zabezpečení se doporučuje vyžádat certifikát SSL/TLS pomocí interní nebo známé certifikační autority (CA) třetí strany.
Doporučení a minimální požadavky na certifikát SSL/TLS pro použití serverem Dell Data Security:
- Žádosti o podepsání certifikátu (CSR) musí obsahovat běžný název (CN).
- Žádosti o podpis certifikátu (CSR) musí obsahovat alternativní název subjektu (SAN). Musí se jednat o položku DNS, která odpovídá běžnému názvu.
- Uveďte další společná pole, jako je země (C), stát (ST) a organizace (O).
- Použijte alespoň algoritmus SHA-256 (Na vyžádání byste měli použít podepisování SHA-2. To nemusí být nutné, pokud certifikační autorita přepíše algoritmus, který je zadán v požadavku. Výsledný certifikát musí být podepsán SHA-2. Algoritmy MD5 a SHA-1 jsou zastaralé a již nejsou podporovány).
- Privátní klíče musí být alespoň RSA 2048 bitů.
- Privátní klíče musí být exportovatelné.
- Verze 9.3 a starší musí mít každý certifikát v řetězci
AuthorityKeyIdentifierkterý odpovídá podpisovému certifikátu,SubjectKeyIdentifier.Poznámka: Pokud jsou v rozšíření SAN (Subject Alternative Name) v požadavku zadány nějaké názvy DNS, pole CN se při ověřování certifikátu neshoduje, jak je uvedeno v části 6.4.4 dokumentu RFC 6125.
Nepodporované konfigurace:
- RSA Probabilistic Signature Scheme (RSASSA-PSS) není podporovaný algoritmus podpisu.
- Soukromé klíče generované pomocí poskytovatele úložiště klíčů společnosti Microsoft jsou podporovány na serveru verze 10.2.12 a novějších.
Poznámka:
- Certifikáty se zástupnými znaky jsou podporovány, ale nejsou doporučovány.
- Další možný krok najdete v článku Jak aktualizovat certifikát pro služby Dell Encryption pomocí existujícího certifikátu v úložišti klíčů Microsoft.
Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.