Minimalne wymagania dotyczące certyfikatów SSL i TLS dla serwera Dell Security Management Server oraz serwera wirtualnego

Dotyczy produktów:

• Dell Security Management Server
• Dell Data Protection | Enterprise Edition
• Dell Security Management Server Virtual
• Dell Data Protection | Virtual Edition

Rozwiązanie Dell Data Security umożliwia łatwe ustanowienie bezpiecznej komunikacji między serwerem a klientami przez utworzenie i używanie certyfikatu z podpisem własnym. Jednak, podobnie jak w przypadku wszystkich certyfikatów z podpisem własnym, przy wyborze typu certyfikatu do użycia należy wziąć pod uwagę kwestie bezpieczeństwa.

W celu zwiększenia bezpieczeństwa zaleca się korzystanie z certyfikatu SSL/TLS używającego wewnętrznego urzędu certyfikacji (CA) lub dobrze znanego urzędu certyfikacji innej firmy.

Zalecenia i minimalne wymagania dotyczące certyfikatu SSL/TLS używanego przez serwer Dell Data Security:

• Żądania podpisania certyfikatu (CSR) muszą zawierać nazwę pospolitą (CN).
• Żądania podpisania certyfikatu (CSR) muszą zawierać alternatywną nazwę podmiotu (SAN). Musi to być wpis DNS zgodny z nazwą pospolitą.
• Należy uwzględnić inne typowe pola, takie jak kraj (C), stan (ST) i organizacja (O).
• Należy używać algorytmu skrótu podpisu przynajmniej SHA-256. (Algorytmu SHA-2 należy użyć na żądanie. Może to być niepotrzebne, jeśli urząd certyfikacji zastępuje algorytm określony w żądaniu. Certyfikat wynikowy musi być podpisany przy użyciu algorytmu SHA-2. Algorytmy MD5 i SHA-1 są przestarzałe i nie są już obsługiwane).
• Klucze prywatne muszą być przynajmniej 2048-bitowymi kluczami RSA.
• Musi istnieć możliwość eksportu kluczy prywatnych.
• W wersji 9.3 lub starszej każdy certyfikat w łańcuchu musi mieć atrybut AuthorityKeyIdentifier który odpowiada certyfikatowi podpisywania SubjectKeyIdentifier.
  Uwaga: Jeśli jakiekolwiek nazwy DNS są określone w rozszerzeniu SAN (Subject Alternative Name) znajdującym się w żądaniu, pole CN nie jest zgodne podczas sprawdzania poprawności certyfikatu, jak określono w sekcji 6.4.4 dokumentu RFC 6125.

Nieobsługiwane konfiguracje:

• RSA Probabilistic Signature Scheme (RSASSA-PSS) nie jest obsługiwanym algorytmem podpisu.
• Klucze prywatne wygenerowane przy użyciu dostawcy Microsoft Key Storage są obsługiwane w wersji serwera 10.2.12 i nowszych.
  Uwaga:

  • Certyfikaty wieloznaczne są obsługiwane, ale nie są zalecane.
  • Aby zapoznać się z możliwym następnym krokiem, zapoznaj się z tematem Jak zaktualizować certyfikat dla usług Dell Encryption Services przy użyciu istniejącego certyfikatu w magazynie kluczy Microsoft.

Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.