Compartir a través de

  • Artículo

Configuración de cifrado SSL

 

Publicada: marzo de 2016

Se aplica a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

System Center 2012 – Operations Manager administra correctamente los equipos UNIX y Linux sin realizar cambios en la configuración predeterminada del algoritmo de cifrado SSL (capa de sockets seguros). En la mayoría de las organizaciones, la configuración predeterminada es aceptable, pero debe comprobar las directivas de seguridad de su organización para determinar si se requieren cambios.

Uso de la configuración de cifrado SSL

El agente de UNIX y Linux de Operations Manager se comunica con el servidor de administración de Operations Manager al aceptar solicitudes en el puerto 1270 y suministrar información para responder a esas solicitudes. Las solicitudes se realizan mediante el protocolo WS-Management que se ejecuta en una conexión SSL.

Cuando la conexión SSL se establece para cada solicitud, el protocolo SSL estándar negocia el algoritmo de cifrado, que se conoce como el cifrado para la conexión. Para Operations Manager, el servidor de administración siempre negocia el uso de un cifrado muy seguro para la conexión de red entre el servidor de administración y el equipo UNIX o Linux.

El paquete SSL que se instala como parte del sistema operativo controla la configuración de cifrado SSL predeterminada en un equipo UNIX o Linux. Por lo general, la configuración del cifrado SSL permite conexiones de varios tipos de cifrado, incluidos cifrados más antiguos y menos seguros. Si bien Operations Manager no utiliza estos cifrados menos seguros, tener abierto el puerto 1270 con la posibilidad de utilizar un cifrado poco seguro contradice las directivas de seguridad de algunas organizaciones.

Si la configuración predeterminada del algoritmo de cifrado SSL cumple la directiva de seguridad de su organización, no es necesario realizar ninguna acción.

Si la configuración predeterminada del algoritmo de cifrado SSL no cumple la directiva de seguridad de su organización, el agente de UNIX y Linux de Operations Manager ofrece una opción de configuración para especificar los cifrados que SSL acepta en el puerto 1270. Puede utilizar esta opción para controlar los cifrados y para hacer que la configuración de SSL se ajuste a sus directivas. Después de instalar el agente de UNIX y Linux de Operations Manager en todos los equipos administrados, se debe establecer la opción de configuración mediante los procedimientos que se describen en la sección siguiente.Operations Manager no proporciona una forma automática o integrada de aplicar estas configuraciones; cada organización debe realizar la configuración con el mecanismo externo que mejor funcione.

Establecimiento de la opción de configuración sslCipherSuite para System Center 2012 R2

Los cifrados SSL para el puerto 1270 se controlan mediante la configuración de la opción sslciphersuite del archivo de configuración OMI, omiserver.conf. El archivo omiserver.conf se encuentra en el directorio /etc/opt/microsoft/scx/conf/.

El formato de la opción sslciphersuite de este archivo es:

sslciphersuite=<cipher spec>

donde <cipher spec> especifica los cifrados permitidos y no permitidos, y el orden en que se eligen los cifrados permitidos.

El formato de <cipher spec> es el mismo que el formato de la opción sslCipherSuite en el servidor Apache HTTP versión 2.0. Para obtener información detallada, consulte SSLCipherSuite Directive (Directiva de SSLCipherSuite) en la documentación de Apache. El propietario o los usuarios de este sitio proporcionan toda la información del sitio. Microsoft no otorga garantías expresas, implícitas ni legales con respecto a la información de este sitio web

Después de establecer la opción de configuración sslCipherSuite, debe reiniciar el agente de UNIX y Linux para que el cambio surta efecto. Para reiniciar el agente de UNIX y Linux, ejecute el siguiente comando, que se encuentra en el directorio /etc/opt/microsoft/scx/bin/tools.

. setup.sh
scxadmin -restart

Establecimiento de la opción de configuración sslCipherSuite para System Center 2012 SP1 y System Center 2012

Los cifrados de SSL para el puerto 1270 se controlan configurando la opción sslCipherSuite mediante el uso del comando scxcimconfig, que se instala como parte del agente de UNIX y Linux de Operations Manager en el directorio /etc/opt/microsoft/scx/bin/tools. Para ver la Ayuda completa, en el símbolo del sistema, escriba el comando siguiente.

scxcimconfig –-help

Para establecer la opción de configuración de sslCipherSuite, la sintaxis siguiente muestra un comando típico.

scxcimconfig –s sslCipherSuite='<cipher spec>' –p

<cipher spec> especifica los cifrados permitidos y no permitidos, y el orden en que se eligen los cifrados permitidos.

El formato de <cipher spec> es el mismo que el formato de la opción sslCipherSuite en el servidor Apache HTTP versión 2.0. Para obtener información detallada, consulte SSLCipherSuite Directive (Directiva de SSLCipherSuite) en la documentación de Apache. El propietario o los usuarios de este sitio proporcionan toda la información del sitio. Microsoft no otorga garantías expresas, implícitas ni legales con respecto a la información de este sitio web

Después de establecer la opción de configuración de sslCipherSuite, debe reiniciar el agente de UNIX y Linux para que el cambio surta efecto. Para reiniciar el agente de UNIX y Linux, ejecute el siguiente comando, que también se encuentra en el directorio /etc/opt/microsoft/scx/bin/tools.

scxadmin -restart