Freigeben über

  • Artikel

Konfigurieren von SSL-Verschlüsselungen

 

Veröffentlicht: März 2016

Betrifft: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

System Center 2012 – Operations Manager verwaltet UNIX- und Linux-Computer ohne Änderungen an der standardmäßige SSL-Chiffrekonfiguration (Secure Sockets Layer) richtig. Für die meisten Organisationen ist die Standardkonfiguration akzeptabel, Sie sollten aber die Sicherheitsrichtlinien Ihrer Organisation überprüfen, um festzustellen, ob Änderungen erforderlich sind.

Verwenden der SSL-Chiffrekonfiguration

Der UNIX- und Linux-Agent von Operations Manager kommuniziert mit dem Operations Manager-Verwaltungsserver, indem Anforderungen an Port 1270 akzeptiert und Informationen als Antwort auf diese Anforderungen bereitgestellt werden. Anforderungen werden mit dem WS-Management-Protokoll erstellt, das auf einer SSL-Verbindung ausgeführt wird.

Wenn die SSL-Verbindung zum ersten Mal für jede Anforderung hergestellt wird, handelt das standardmäßige SSL-Protokoll den Verschlüsselungsalgorithmus (der als Chiffre bezeichnet wird) für die zu verwendende Verbindung aus. Für Operations Manager handelt der Verwaltungsserver immer die Verwendung einer hohen Chiffrierstärke aus, sodass eine starke Verschlüsselung für die Netzwerkverbindung zwischen dem Verwaltungsserver und dem UNIX- oder Linux-Computer verwendet wird.

Die standardmäßige SSL-Chiffrekonfiguration auf UNIX- oder Linux-Computern wird durch das SSL-Paket gesteuert, das als Teil des Betriebssystems installiert ist. Die SSL-Chiffrekonfiguration ermöglicht üblicherweise Verbindungen mit einer Vielzahl von Chiffren, einschließlich älterer Chiffren mit geringerer Stärke. In Operations Manager werden diese Chiffren mit geringerer Stärke nicht verwendet, und das Öffnen von Port 1270 widerspricht der Sicherheitsrichtlinie einiger Organisationen, wenn die Möglichkeit besteht, dass eine Chiffre mit geringerer Stärke genutzt wird.

Wenn die standardmäßige SSL-Chiffrekonfiguration die Sicherheitsrichtlinie Ihrer Organisation erfüllt, müssen Sie keine Maßnahmen ergreifen.

Wenn die standardmäßige SSL-Chiffrekonfiguration der Sicherheitsrichtlinie Ihrer Organisation widerspricht, bietet der UNIX- und Linux-Agent von Operations Manager eine Konfigurationsoption zur Angabe der Chiffren, die SSL an Port 1270 akzeptieren kann. Mithilfe dieser Option können Sie die Chiffren steuern und die Übereinstimmung der SSL-Konfiguration mit Ihren Richtlinien herstellen. Nachdem der UNIX- und Linux-Agent von Operations Manager auf jedem verwalteten Computer installiert wurde, muss die Konfigurationsoption anhand der im nächsten Abschnitt beschriebenen Verfahren festgelegt werden.Operations Manager bietet keine automatische oder integrierte Methode zum Anwenden dieser Konfigurationen. Jede Organisation muss die Konfiguration mit dem jeweils am besten geeigneten Mechanismus ausführen.

Festlegen der Konfigurationsoption „sslCipherSuite“ für System Center 2012 R2

Die SSL-Chiffren für Port 1270 werden durch Festlegen der Option sslciphersuite in der OMI-Konfigurationsdatei omiserver.conf gesteuert. Die Datei omiserver.conf befindet sich im folgenden Verzeichnis: /etc/opt/microsoft/scx/conf/.

Das Format für die Option „sslciphersuite“ in dieser Datei lautet folgendermaßen:

sslciphersuite=<cipher spec>

Dabei werden durch <cipher spec> die zulässigen und die nicht zulässigen Chiffren sowie die Reihenfolge, in der zulässige Chiffren ausgewählt werden, angegeben.

Das Format für <cipher spec> ist mit dem Format für die Option sslCipherSuite in Apache HTTP Server, Version 2.0, identisch. Detaillierte Informationen finden Sie unter SSLCipherSuite Directive (SSLCipherSuite-Direktive) in der Apache-Dokumentation. Alle Informationen auf dieser Website werden vom Besitzer oder den Benutzern der Website bereitgestellt. Microsoft übernimmt bezüglich der Informationen auf dieser Website keine Gewährleistungen, weder ausdrücklich noch konkludent oder gesetzlich geregelt.

Nachdem Sie die Konfigurationsoption sslCipherSuite festgelegt haben, müssen Sie den UNIX- und Linux-Agent neu starten, damit die Änderung wirksam wird. Führen Sie für den Neustart des UNIX- und Linux-Agents den nachfolgenden Befehl aus, der sich im Verzeichnis /etc/opt/microsoft/scx/bin/tools befindet.

. setup.sh
scxadmin -restart

Festlegen der Konfigurationsoption „sslCipherSuite“ für System Center 2012 SP1 und System Center 2012

Die SSL-Chiffren für Port 1270 werden durch Festlegen der Option sslCipherSuite mit dem Befehl scxcimconfig gesteuert. Dieser Befehl wird zusammen mit dem UNIX- und Linux-Agent von Operations Manager im Verzeichnis /etc/opt/microsoft/scx/bin/tools installiert. Geben Sie zum Anzeigen der vollständigen Hilfe an der Eingabeaufforderung den folgenden Befehl ein.

scxcimconfig –-help

Ein typischer Befehl zum Festlegen der Konfigurationsoption sslCipherSuite wird mithilfe der folgenden Syntax veranschaulicht.

scxcimconfig –s sslCipherSuite='<cipher spec>' –p

Dabei gibt <cipher spec> die zulässigen und die nicht zulässigen Chiffren sowie die Reihenfolge, in der zulässige Chiffren ausgewählt werden, an.

Das Format für <cipher spec> gleicht dem Format für die Option sslCipherSuite auf Apache HTTP Server, Version 2.0. Detaillierte Informationen finden Sie unter SSLCipherSuite Directive (SSLCipherSuite-Direktive) in der Apache-Dokumentation. Alle Informationen auf dieser Website werden vom Besitzer oder den Benutzern der Website bereitgestellt. Microsoft übernimmt bezüglich der Informationen auf dieser Website keine Gewährleistungen, weder ausdrücklich noch konkludent oder gesetzlich geregelt.

Nachdem Sie die Konfigurationsoption sslCipherSuite festgelegt haben, müssen Sie den UNIX- und Linux-Agent neu starten, damit die Änderung wirksam wird. Führen Sie für den Neustart des UNIX- und Linux-Agents den folgenden Befehl aus, der sich auch im Verzeichnis /etc/opt/microsoft/scx/bin/tools befindet.

scxadmin -restart