Dell Data Security 包括创建和使用自签名证书以实现服务器与客户端之间的安全通信的便利性。但是,与所有自签名证书一样,在选择要使用的证书类型时存在安全注意事项。
为了增强安全性,建议使用内部或知名的第三方证书颁发机构 (CA) 请求 SSL/TLS 证书。
用于 Dell Data Security 服务器的 SSL/TLS 证书的建议和最低要求包括:
- 证书签名请求 (CSR) 必须包括通用名称 (CN)。
- 证书签名请求 (CSR) 必须包括主题备用名称 (SAN)。这必须是与通用名称匹配的 DNS 条目。
- 包括其他常见字段,如国家/地区 (C)、州 (ST) 和组织 (O)。
- 至少使用 SHA-256(应在请求上使用 SHA-2 签名。如果 CA 覆盖请求中指定的算法,则这可能没有必要。生成的证书必须为 SHA-2 签名。MD5 和 SHA-1 已弃用,不再受支持)。
- 私钥必须至少为 RSA 2048 位。
- 私钥必须可导出。
- 版本 9.3 及更低版本,链中的每个证书都必须具有与签名证书的 SubjectKeyIdentifier 匹配的 AuthorityKeyIdentifier。
提醒: 如果在请求中的主题备用名称 (SAN) 扩展中指定了任何 DNS 名称,则在验证 RFC 6125 第 6.4.4 节中指定的证书时,CN 字段不匹配。
不支持的配置:
- RSA 概率签名方案 (RSASSA-PSS) 不是受支持的签名算法。
- 服务器 v10.2.12 及更高版本支持使用 Microsoft 密钥存储提供程序生成的私钥。
要联系支持部门,请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛。