安全需求
系統包含許多使用 SSL/TLS 的元件(同時作為用戶端和伺服器)。兩者都只能使用強式 SSL/TLS 密碼。
IBM Spectrum Virtualize™ 上的 OpenSSL 和 Java™ SSL 已配置為提供 unlimited 強度加密。
表 1 定義不同安全層次的系統設定。當您配置新的
系統時,預設安全層次為 1。
| 安全層次 | 說明 | 容許的最低安全 |
|---|---|---|
| 1 | 將系統設為不允許 SSL 3.0 版。 | TLS 1.0 |
| 2 | 將系統設為不允許 SSL 3.0 版、TLS 1.0 版及 TLS 1.1 版。 | TLS 1.2 |
| 3 | 將系統設為不允許 SSL 3.0 版、TLS 1.0 及 TLS 1.1 版,以及允許 TLS 1.2 版專屬的加密套件。 | TLS 1.2 |
| 4 | 將系統設為不允許 SSL 3.0 版、TLS 1.0 及 TLS 1.1 版,以及允許 TLS 1.2 版專屬的加密套件。將系統設為在 SSH 中不允許 RSA 金鑰交換密碼、RSA 密碼。 | TLS 1.2 |
變更 SSL/TLS 層次的設定需要將使用通訊協定(Tomcat、OpenPegasus、Curl、LDAP、Perl 程式庫)的服務重新啟動,還會導致現有的階段作業終止。因為已沒有階段作業還在舊的安全層次上運作,建議執行此動作。重新啟動服務後,可能需要幾分鐘,服務才會又變成可用。
註: 變更系統安全層次可能導致 Web 介面、CIM 用戶端和其他 SSL/TLS 用戶端停止運作。
如果任何用戶端停止運作,請參閱相關作業一節中的疑難排解資訊。
如果要進一步瞭解 SSL/TLS 安全層次和每個安全層次支援的密碼清單,請參閱安全層次和支援的安全密碼。