Exigences minimales requises pour les certificats SSL et TLS de Dell Security Management Server et Virtual Server

Produits concernés :

• Dell Security Management Server
• Dell Data Protection | Enterprise Edition
• Dell Security Management Server Virtual
• Dell Data Protection | Virtual Edition

Dell Data Security offre la possibilité de créer et d’utiliser un certificat autosigné pour sécuriser les communications entre le serveur et les clients. Toutefois, comme pour tous les certificats auto-signés, il existe des considérations de sécurité lors du choix du type de certificat à utiliser.

Afin d’améliorer la sécurité, il est recommandé de demander un certificat SSL/TLS à l’aide d’une autorité de certification (Certificate Authority, AC) tierce interne ou bien connue.

Les recommandations et la configuration minimale requise pour un certificat SSL/TLS à utiliser par le serveur Dell Data Security sont les suivantes :

• vos demandes de signature de certificat (Certificate Signing Requests, CSR) doivent comprendre un nom commun (CN).
• Les demandes de signature de certificat (CSR) doivent inclure un nom alternatif d’objet (SAN). Il doit s’agir d’une entrée DNS qui correspond au nom commun.
• vous devez inclure d’autres champs communs, tels que le pays (Country, C), l’état (State, ST) et l’organisation (O).
• vous devez utiliser au moins la fonction SHA-256 (la signature SHA-2 doit être utilisée lors de la demande. Cela peut être inutile si l’autorité de certification remplace l’algorithme spécifié dans la demande. Le certificat qui en découle doit être signé avec la fonction SHA-2. Les fonctions MD5 et SHA-1 sont obsolètes et ne sont plus prises en charge).
• vos clés privées doivent correspondre au moins au nombre RSA 2048 bits.
• vos clés privées doivent être exportables.
• Version 9.3 et versions antérieures, chaque certificat de la chaîne doit disposer d’un AuthorityKeyIdentifier qui correspond à la signature du certificat SubjectKeyIdentifier.
  Remarque : Si des noms DNS sont spécifiés dans l’extension SAN (Subject Alternative Name) qui se trouve dans la demande, le champ CN n’est pas mis en correspondance lors de la validation du certificat, comme spécifié dans la section 6.4.4 de la RFC 6125.

Configurations non prises en charge :

• RSA Probabilistic Signature Scheme (RSASSA-PSS) n’est pas un algorithme de signature pris en charge.
• Les clés privées générées à l’aide du fournisseur de stockage de clés Microsoft sont prises en charge dans les versions 10.2.12 et ultérieures du serveur.
  Remarque :

  • Les certificats génériques sont pris en charge, mais ne sont pas recommandés.
  • Pour connaître l’étape suivante, voir l’article Comment mettre à jour le certificat pour les services Dell Encryption à l’aide d’un certificat existant dans le magasin de clés Microsoft

Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.