Freigeben über

Verwenden eines Zertifizierungsstellenzertifikats für einen SCX-Agent

In diesem Artikel wird erläutert, wie Sie ein selbstsigniertes Zertifikat auf einem system Center Operations Manager (SCOM) Unix/Linux (SCX)-Agent in ein signiertes Zertifikat einer Zertifizierungsstelle konvertieren.

Erstellen einer Zertifizierungsstellenzertifikatvorlage

Führen Sie auf einem Zertifizierungsstellenserver in Ihrer SCOM-Umgebung die folgenden Schritte aus, um eine Zertifikatvorlage zu erstellen:

  1. Öffnen Sie die Zertifizierungsstelle aus Server-Manager.

  2. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und wählen Sie "Verwalten" aus.

  3. Wählen Sie die Vorlage "Computer" und dann "Vorlage duplizieren" aus.

  4. Legen Sie auf der Registerkarte "Allgemein " einen Namen für die Vorlage fest, und ändern Sie den Gültigkeitszeitraum gemäß den Standards.

    Screenshot, der zeigt, wie der Anzeigename und der Gültigkeitszeitraum einer Vorlage geändert werden.

  5. Aktivieren Sie auf der Registerkarte "Anforderungsverarbeitung " die Option "Privaten Schlüssel zum Exportieren zulassen".

    Screenshot, der zeigt, wie Sie die Option

  6. Wählen Sie auf der Registerkarte "Erweiterungen" die Option "Anwendungsrichtlinien>bearbeiten" aus. Entfernen Sie die Clientauthentifizierung aus der Anwendungsrichtlinienerweiterung . Stellen Sie sicher, dass die Erweiterung "Anwendungsrichtlinien" nur die Serverauthentifizierung aufweist.

    Screenshot, der zeigt, wie

  7. Wählen Sie auf der Registerkarte "Antragstellername " die Option "Angeben" in der Anforderung aus. Akzeptieren Sie die Eingabeaufforderung. Es besteht kein Risiko.

    Screenshot, der zeigt, wie Die Option

  8. Klicken Sie auf OK.

  9. Wählen Sie die erstellte Vorlage aus, und wechseln Sie zu "Eigenschaften".

  10. Wählen Sie Sicherheit aus. Fügen Sie das Computerobjekt des Servers hinzu, auf dem das Zertifikat registriert wird.

    Screenshot, der zeigt, wie das Computerobjekt hinzugefügt wird.

  11. Wählen Sie die Berechtigungen als "Lesen", "Schreiben" und "Registrieren" aus.

    Screenshot mit den Berechtigungen

  12. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen. Wählen Sie "Neue>Zertifikatvorlage" aus, die auszugeben ist.

  13. Wählen Sie die erstellte Vorlage und dann "OK" aus.

Ausstellen eines Zertifizierungsstellenzertifikats aus der Vorlage

  1. Öffnen Sie auf dem Windows Server, dem die Berechtigung für die Vorlage erteilt wurde, den Computerzertifikatspeicher.

  2. Klicken Sie unter "Persönlich" mit der rechten Maustaste auf "Zertifikate ", und wählen Sie " Alle Aufgaben>neues Zertifikat anfordern" aus...

    Screenshot, der zeigt, wie sie ein neues Zertifikat anfordern.

  3. Wählen Sie "Weiter"> aus.

  4. Suchen Sie die Vorlage.

  5. Wählen Sie Es werden zusätzliche Informationen für diese Zertifikatsregistrierung benötigt. Klicken Sie hier, um die Einstellungen zu konfigurieren.

    Screenshot der Warnung, dass weitere Informationen für die Registrierung anfordert.

  6. Fügen Sie die folgenden Details hinzu, vorzugsweise in der Reihenfolge:

    1. CN=<Servername FQDN>
    2. CN=<Servername>
    3. DC=<Domain-Komponente, z. B>. Contoso
    4. DC=<Domain-Komponente, z. B>. com

    Screenshot, der das Hinzufügen von Details zu

    Wenn Sie über andere Domänenkomponenten verfügen, stellen Sie sicher, dass sie sich im Zertifikat befinden.

  7. Wählen Sie "Fertig stellen " nach der erfolgreichen Registrierung aus.

  8. Klicken Sie mit der rechten Maustaste auf das Zertifikat, und exportieren Sie es mit einem privaten Schlüssel. Schließlich sollte eine PFX-Datei vorhanden sein.

  9. Exportieren Sie das Zertifizierungsstellen- und Zwischenzertifizierungsstellenzertifikat (falls zutreffend) in den Stammspeicher aller Verwaltungsserver/Gateways im UNIX/Linux-Ressourcenpool.

Kopieren und Bearbeiten des Zertifikats auf dem Unix/Linux-Server

  1. Kopieren Sie das Zertifikat auf den Unix/Linux-Server, für den das Zertifikat ausgestellt wurde.

  2. Exportieren Sie den privaten Schlüssel mithilfe des folgenden Befehls:

    openssl pkcs12 -in <FileName>.pfx -nocerts -out key.pem

    Beim Exportieren des privaten Schlüssels aus dem Zertifikatspeicher muss für die neue Schlüsseldatei ein neues Kennwort festgelegt werden.

    Screenshot des Befehls zum Exportieren des privaten Schlüssels.

    Nach Abschluss des Exports sollte eine Datei "key.pem " angezeigt werden:

    Screenshot, der den Befehl zum Abrufen der Privaten Schlüsseldatei zeigt.

  3. Exportieren Sie das Zertifikat mithilfe des folgenden Befehls:

    openssl pkcs12 -in <FileName>.pfx -clcerts -nokeys -out omi.pem

    Beim Exportieren des Zertifikats aus dem Zertifikatspeicher müssen Sie das Kennwort für die <Datei "FileName.pfx>" eingeben.

    Screenshot des Befehls zum Exportieren des Zertifikats.

    Nach Abschluss des Exports sollte eine omi.pem-Datei angezeigt werden:

    Screenshot des Befehls zum Abrufen der Zertifikatdatei.

  4. Entfernen Sie das Kennwort aus dem privaten Schlüssel mithilfe des folgenden Befehls:

    openssl rsa -in key.pem -out omikey.pem

    Screenshot des Befehls zum Entfernen des Kennworts aus dem privaten Schlüssel.

    Diese Aktion ist erforderlich, da der Linux-Agent das Kennwort für die Datei nicht kennt.

  5. Verschieben Sie die Datei "omikey.pem " mithilfe des folgenden Befehls in das Verzeichnis "Open Management Infrastructure (OMI)":

    mv omikey.pem /etc/opt/omi/ssl/omikey.pem

  6. Starten Sie den SCX-Agent neu, indem Sie den folgenden Befehl verwenden:

    scxadmin -restart

  7. Stellen Sie sicher, dass die omi-Prozesse nach dem Neustart des Agents ausgeführt werden:

    ps -ef | grep omi | grep -v grep

    Screenshot des Befehls zum Überprüfen der ausgeführten omi-Prozesse.

Überprüfen, ob das Zertifikat von der Zertifizierungsstelle signiert ist

  1. Führen Sie den folgenden Befehl für den Agent aus, um zu überprüfen, ob das Zertifikat von der Zertifizierungsstelle signiert ist:

    openssl x509 -noout -in /etc/opt/microsoft/scx/ssl/scx.pem -subject -issuer -dates

subject= /DC=lab/DC=nfs/CN=RHEL7-02/CN=RHEL7-02.nfs.lab
issuer= /DC=lab/DC=nfs/CN=nfs-DC-CA
notBefore=Aug  1 13:16:47 2023 GMT
notAfter=Jul 31 13:16:47 2024 GMT

    In typischen Szenarien ist dies issuer ein Verwaltungsserver/Gateway im UNIX/Linux-Ressourcenpool, wie folgt:

    openssl x509 -noout -in /etc/opt/microsoft/scx/ssl/scx.pem -subject -issuer -dates

subject=CN = rhel8-01.nfs.lab, CN = rhel8-01.nfs.lab
issuer=CN = SCX-Certificate, title = SCX55a8126f-c88a-4701-9754-8625324426ff, DC = SCOM2022MS3
notBefore=Jul 25 11:36:44 2022 GMT
notAfter=Jul 25 12:12:14 2033 GMT

  2. Führen Sie eine Netzwerkablaufverfolgung auf einem der Verwaltungsserver/Gateways im UNIX/Linux-Ressourcenpool aus.

  3. Führen Sie den folgenden WinRM Befehl für den Agent aus, und stellen Sie sicher, dass Sie die Instanzausgabe erhalten:

    winrm enumerate http://schemas.microsoft.com/wbem/wscim/1/cim-schema/2/SCX_Agent?__cimnamespace=root/scx -auth:basic -remote:https://<server name>:1270 -username:<username> -encoding:utf-8

  4. Filtern Sie in der Netzwerkablaufverfolgung mit der IP des Agents.

  5. Im Zertifikat sollte das Zertifikat "Server Hello Done" anstelle des selbstsignierten Zertifikats angezeigt werden.

    Screenshot des signierten Zertifikats der Zertifizierungsstelle.