Dell Data Security включает удобство создания и использования самозаверяющего сертификата для защищенного обмена данными между сервером и клиентами. Однако, как и для всех самозаверяющих сертификатов, при выборе типа используемого сертификата необходимо учитывать безопасность.
Для повышения безопасности рекомендуется запросить сертификат SSL/TLS с помощью внутреннего или известного стороннего центра сертификации (CA).
Ниже приведены рекомендации и минимальные требования к сертификату SSL/TLS для использования сервером Dell Data Security.
- Запросы на подписание сертификатов (CSR) должны содержать общее имя (CN).
- Запросы подписи сертификатов (CSR) должны содержать альтернативное имя субъекта (SAN). Это должна быть запись DNS, соответствующая общему имени.
- Включите другие общие поля, такие как страна (C), штат (ST) и организация (O).
- Используйте по крайней мере SHA-256 (в запросе следует использовать подпись SHA-2. Это может быть ненужным, если ЦС переопределяет алгоритм, указанный в запросе. Полученный сертификат должен быть подписан SHA-2. MD5 и SHA-1 устарели и больше не поддерживаются).
- Закрытые ключи должны быть как минимум RSA 2048 бит.
- Закрытые ключи должны быть экспортируемыми.
- В версии 9.3 и более ранних версиях каждый сертификат в цепочке должен иметь идентификатор AuthorityKeyIdentifier, соответствующий объекту SubjectKeyIdentifier сертификата подписи.
Примечание.: Если какие-либо имена DNS указаны в расширении «Альтернативное имя субъекта (SAN)», указанном в запросе, поле CN не совпадает при валидации сертификата, как указано в разделе 6.4.4 RFC 6125.
Неподдерживаемые конфигурации.
- Вероятностная схема подписи RSA (RSASA-PSS) не является поддерживаемым алгоритмом подписи.
- Частные ключи, генерируемые с помощью Microsoft Key Storage Provider, поддерживаются в версии server 10.2.12 и более поздних.
Примечание.:
- Сертификаты с подстановочными знаками поддерживаются, но не рекомендуются.
- Для получения возможного следующего шага см. статью Обновление сертификата для служб Dell Encryption с использованием существующего сертификата в хранилище ключей Microsoft
Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.