Dell Security Management Server und Virtual Server – Mindestanforderungen für SSL- und TLS-Zertifikate

Betroffene Produkte:

• Dell Security Management Server
• Dell Data Protection | Enterprise Edition
• Dell Security Management Server Virtual
• Dell Data Protection | Virtual Edition

Dell Data Security umfasst die bequeme Option der Erstellung und Verwendung eines selbstsignierten Zertifikats für die sichere Kommunikation zwischen dem Server und den Clients. Wie bei allen selbstsignierten Zertifikaten gibt es jedoch Sicherheitsüberlegungen bei der Auswahl des zu verwendenden Zertifikattyps.

Um die Sicherheit zu verbessern, wird empfohlen, ein SSL/TLS-Zertifikat bei einer internen oder anerkannten Drittanbieter-Zertifizierungsstelle (Certification Authority, CA) anzufordern.

Die Empfehlungen und Mindestanforderungen für ein SSL/TLS-Zertifikat zur Verwendung durch den Dell Data Security Server sind:

• Zertifikatsignierungsanfragen (CSRs) müssen einen Common Name (CN) enthalten.
• Zertifikatsignieranforderungen (Certificate Signing Requests, CSRs) müssen einen alternativen Betreffnamen (Subject Alternative Name, SAN) enthalten. Dies muss ein DNS-Eintrag sein, der mit dem allgemeinen Namen übereinstimmt.
• Füllen Sie weitere allgemeine Felder wie Land (C), Bundesstaat (ST) und Organisation (O) aus.
• Verwenden Sie mindestens SHA-256 (SHA-2-Signierung sollte bei der Anfrage verwendet werden. Dies kann unnötig sein, wenn die Zertifizierungsstelle den in der Anforderung angegebenen Algorithmus außer Kraft setzt. Das daraus resultierende Zertifikat muss SHA-2 signiert sein. MD5 und SHA-1 sind veraltet und werden nicht mehr unterstützt.)
• Private Schlüssel müssen mindestens RSA 2048-Bit aufweisen.
• Private Schlüssel müssen exportierbar sein.
• Version 9.3 und früher muss jedes Zertifikat in der Kette über eine AuthorityKeyIdentifier die mit dem Signaturzertifikat übereinstimmt SubjectKeyIdentifier.
  Hinweis: Wenn DNS-Namen in der SAN-Erweiterung (Subject Alternative Name) angegeben sind, wird das CN-Feld bei der Validierung des Zertifikats gemäß Abschnitt 6.4.4 von RFC 6125 nicht abgeglichen.

Nicht unterstützte Konfigurationen:

• RSA Probabilistic Signature Scheme (RSASSA-PSS) wird nicht als Signaturalgorithmus unterstützt.
• Private Schlüssel, die mit dem Microsoft Key Storage Provider erzeugt werden, werden in Server v10.2.12 und höher unterstützt.
  Hinweis:

  • Platzhalterzertifikate werden unterstützt, werden jedoch nicht empfohlen.
  • Informationen zum möglichen nächsten Schritt finden Sie unter So aktualisieren Sie das Zertifikat für Dell Encryption-Services mit einem vorhandenen Zertifikat im Microsoft-Keystore

Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.