Минимальные требования к сертификатам SSL и TLS для Dell Security Management Server и Virtual Server

Затронутые продукты:

• Dell Security Management Server
• Dell Data Protection | Enterprise Edition
• Dell Security Management Server Virtual
• Dell Data Protection | Virtual Edition

Dell Data Security включает удобство создания и использования самозаверяющего сертификата для защищенного обмена данными между сервером и клиентами. Однако, как и в случае со всеми самозаверяющими сертификатами, при выборе типа сертификата существуют соображения безопасности.

Для повышения безопасности рекомендуется запросить сертификат SSL/TLS с помощью внутреннего или известного стороннего центра сертификации (CA).

Ниже приведены рекомендации и минимальные требования к сертификату SSL/TLS для использования сервером Dell Data Security.

• Запросы на подписание сертификатов (CSR) должны содержать общее имя (CN).
• Запросы на подпись сертификатов (CSR) должны включать альтернативное имя субъекта (SAN). Это должна быть запись DNS, совпадающая с общим именем.
• Включите другие общие поля, такие как страна (C), штат (ST) и организация (O).
• Используйте по крайней мере SHA-256 (в запросе следует использовать подпись SHA-2. В этом может не понадобиться ситуация, если источник сертификатов переопределяет алгоритм, указанный в запросе. Полученный сертификат должен быть подписан SHA-2. MD5 и SHA-1 устарели и больше не поддерживаются).
• Закрытые ключи должны быть как минимум RSA 2048 бит.
• Закрытые ключи должны быть экспортируемыми.
• В версии 9.3 и более ранних сертификация каждого сертификата в цепочке должна иметь AuthorityKeyIdentifier который соответствует атрибуту сертификата подписи SubjectKeyIdentifier.
  Примечание. Если в расширении альтернативного имени субъекта (SAN), которое находится в запросе, указаны какие-либо DNS-имена, то поле CN не сопоставляется при проверке сертификата, как указано в разделе 6.4.4 RFC 6125.

Неподдерживаемые конфигурации.

• Вероятностная схема подписи RSA (RSASA-PSS) не является поддерживаемым алгоритмом подписи.
• Закрытые ключи, создаваемые с помощью поставщика хранилища ключей Майкрософт, поддерживаются в сервере версии 10.2.12 и более поздних.
  Примечание.

  • Сертификаты с подстановочными знаками поддерживаются, но не рекомендуются.
  • Для возможного следующего шага см. статью Как обновить сертификат для служб Dell Encryption с помощью существующего сертификата в хранилище ключей Microsoft

Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.