Konfigurace metod šifrování SSL
Publikováno: březen 2016
Rozsah platnosti: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
System Center 2012 – Operations Manager správně spravuje počítače se systémem UNIX a Linux bez nutnosti změn ve výchozí konfiguraci šifry SSL (Secure Sockets Layer). Pro většinu organizací je výchozí konfigurace přijatelná, ale měli byste zásady zabezpečení používané ve vaší organizaci zkontrolovat a zjistit, zda nejsou nutné nějaké změny.
Používání konfigurace šifry SSL
Agent nástroje Operations Manager pro operační systém UNIX a Linux komunikuje se serverem pro správu Operations Manager tím, že přijímá žádosti na portu 1270 a dodává informace v reakci na tyto žádosti. Žádosti jsou vytvářeny pomocí protokolu WS-Management, který běží v rámci připojení SSL.
Při prvním vytváření připojení SSL pro každou žádost vyjedná standardní protokol SSL šifrovací algoritmus (tzv. šifru), který se bude používat pro připojení. Pro nástroj Operations Manager server pro správu vždy vyjedná použití velmi silné šifry tak, aby se pro síťové připojení mezi serverem pro správu a počítačem se systémem UNIX nebo Linux používalo silné šifrování.
Výchozí konfigurace šifry SSL v počítači se systémem UNIX nebo Linux se řídí balíčkem SSL, který je nainstalován jako součást operačního systému. Konfigurace šifry SSL obvykle umožňuje připojení s různými šiframi, včetně starších šifer s nižší sílou šifrování. Operations Manager sice tyto šifry s nižší sílou nevyužívá, otevřený port 1270 s možností využívání šifer s nižší sílou je však v rozporu se zásadami zabezpečení některých organizací.
Pokud výchozí konfigurace šifry SSL splňuje zásady zabezpečení vaší organizace, není nutné provádět žádnou akci.
Je-li výchozí konfigurace šifry SSL v rozporu se zásadami zabezpečení vaší organizace, agent operačního systému UNIX a Linux nástroje Operations Manager nabízí parametr konfigurace pro specifikování šifer, které lze prostřednictvím protokolu SSL přijmout na portu 1270. Tento parametr může být použit k řízení šifer a zajištění souladu konfigurace SSL s vašimi zásadami. Po instalaci agenta operačního systému UNIX a Linux nástroje Operations Manager do každého spravovaného počítače musí být parametr konfigurace nastaven pomocí postupů popsaných v další části. Operations Manager neposkytuje žádný automatický nebo předdefinovaný způsob, jak tyto konfigurace aplikovat; každá organizace musí provést konfiguraci pomocí externího mechanismu, který pro ni bude nejvhodnější.
Nastavení parametru konfigurace sslCipherSuite pro System Center 2012 R2
Šifry SSL pro port 1270 jsou řízeny nastavením parametru sslciphersuite v konfiguračním souboru OMI, omiserver.conf. Soubor omiserver.conf je uložen v adresáři /etc/opt/microsoft/scx/conf/.
Formát parametru sslciphersuite v tomto souboru je:
sslciphersuite=<cipher spec>
kde <cipher spec> určuje šifry, které jsou povolené a zakázané, a pořadí, ve kterém jsou povolené šifry zvoleny.
Formát pro <cipher spec> je stejný jako formát pro parametr sslCipherSuite na serveru Apache HTTP Server verze 2.0. Podrobné informace naleznete v dokumentaci k serveru Apache v části věnované direktivě SSLCipherSuite. Veškeré informace na tomto webu jsou poskytovány vlastníkem nebo uživateli webu. Společnost Microsoft na informace na tomto webu neposkytuje žádné záruky, ať už výslovně uvedené, předpokládané nebo statutární.
Po nastavení parametru konfigurace sslCipherSuite je nutné restartovat agenta operačního systému UNIX a Linux, aby se změny projevily. Pokud chcete restartovat agenta operačního systému UNIX a Linux, spusťte následující příkaz, který najdete v adresáři /etc/opt/microsoft/scx/bin/tools.
. setup.sh
scxadmin -restart
Nastavení parametru konfigurace sslCipherSuite pro System Center 2012 SP1 a System Center 2012
Šifry SSL pro port 1270 jsou řízeny nastavením parametru sslCipherSuite pomocí příkazu scxcimconfig, který je nainstalován jako součást agenta operačního systému UNIX a Linux nástroje Operations Manager v adresáři /etc/opt/microsoft/scx/bin/tools. Chcete-li zobrazit úplnou nápovědu, zadejte na příkazovém řádku následující příkaz.
scxcimconfig –-help
Pokud chcete nastavit parametr konfigurace sslCipherSuite, podívejte se na následující syntaxi, která představuje typickou podobu příkazu.
scxcimconfig –s sslCipherSuite='<cipher spec>' –p
, kde <cipher spec> určuje šifry, které jsou povolené a zakázané, a pořadí, ve kterém jsou povolené šifry zvoleny.
Formát pro <cipher spec> je stejný jako formát pro parametr sslCipherSuite na serveru Apache HTTP Server verze 2.0. Podrobné informace naleznete v dokumentaci k serveru Apache v části věnované direktivě SSLCipherSuite. Veškeré informace na tomto webu jsou poskytovány vlastníkem nebo uživateli webu. Společnost Microsoft na informace na tomto webu neposkytuje žádné záruky, ať už výslovně uvedené, předpokládané nebo statutární.
Po nastavení parametru konfigurace sslCipherSuite je nutné restartovat agenta operačního systému UNIX a Linux, aby se změny projevily. Pokud chcete restartovat agenta operačního systému UNIX a Linux, spusťte následující příkaz, který najdete v adresáři /etc/opt/microsoft/scx/bin/tools.
scxadmin -restart
Viz také
Jak nastavit přihlašovací údaje pro přístup k UNIX a Linux počítače
Přístup k počítačům se systémem UNIX a Linux v nástroji Operations Manager
Jak lze nakonfigurovat sudo zvýšení úrovně a klíče SSH
Požadované funkce pro účty systémů UNIX a Linux
Přihlašovací údaje požadované pro přístup k počítačům se systémy UNIX a Linux