• Artículo

Cómo usar algoritmos que cumplan FIPS

 

Se aplica a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

System Center 2012 – Operations Manager Puede usar algoritmos que cumplan información de procesamiento estándar Federal (FIPS). Un algoritmo compatible con FIPS se incluye en los medios de instalación. Después de instalarlo, deberá modificar manualmente varios archivos de configuración.

Para poder usar algoritmos compatibles con FIPS, siga estos pasos para todos Operations Manager componentes de servidor.

  • Instale Microsoft.EnterpriseManagement.Cryptography.dll.

  • Editar varias instancias del archivo machine.config.

Para los sistemas que hospedan una consola web, realice también los pasos siguientes.

  • Edite el archivo WebHost\web.config.

  • Edite el archivo MonitoringView\web.config.

Necesita la herramienta caché de ensamblados Global, gacutil.exe. Esta utilidad forma parte del SDK de Windows. Para obtener más información, consulte Gacutil.exe (herramienta caché de ensamblados Global).

Para instalar la DLL de criptografía

  1. En el sistema que hospeda la consola web, utilice la Ejecutar como administrador opción para abrir una ventana del símbolo del sistema.

  2. Cambie los directorios al directorio SupportTools de los medios de instalación y, a continuación, cambie el directorio según corresponda a su plataforma: AMD64 o i386.

  3. Ejecute el comando gacutil siguientes:

      gacutil.exe –i Microsoft.EnterpriseManagement.Cryptography.dll

Para editar los archivos machine.config

  1. Utilice un editor de texto sin formato para abrir el archivo machine.config:

    %WinDir%\Microsoft.NET\Framework\v2.0.50727\CONFIG\machine.config

  2. Agregue el siguiente contenido:

      <mscorlib>
      <cryptographySettings>
          <cryptoNameMapping>
              <cryptoClasses>
                  <cryptoClass SHA256CSP="System.Security.Cryptography.SHA256CryptoServiceProvider, System.Core, Version=3.5.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"/>
                  <cryptoClass HMACSHA256CSP ="Microsoft.EnterpriseManagement.Cryptography.HMACSHA256, Microsoft.EnterpriseManagement.Cryptography, Version=7.0.5000.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/>
              </cryptoClasses>
              <nameEntry name="SHA256" class="SHA256CSP"/>
              <nameEntry name="HMACSHA256" class="HMACSHA256CSP"/>  
          </cryptoNameMapping>
      </cryptographySettings>
  </mscorlib>

    Guarde y cierre el archivo cuando haya terminado.

  3. Repita el paso anterior en los siguientes archivos:

    %WinDir%\Microsoft.NET\Framework\v4.0.30319\Config\machine.config

    %WinDir%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config

Para editar el archivo web.config en WebHost

  1. Utilice un editor de texto sin formato para abrir el archivo web.config siguiente:

    C:\Program programa\system Center 2012\Operations Manager\WebConsole\WebHost\web.config

  2. En el <encryption> elemento, agregue el siguiente elemento:

      <symmetricAlgorithm  iv="SHA256"/>

  3. En el <connection autoSignIn="true" autoSignOutInterval="30"> elemento, en la <session> agregue el siguiente atributo: tokenAlgorithm="SHA256".

      <connection autoSignIn="True" autoSignOutInterval="30">
  <session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">

  4. Guarde y cierre el archivo.

Para editar el archivo web.config en MonitoringView

  1. Utilice un editor de texto sin formato para abrir los archivos web.config en las dos ubicaciones siguientes y completar el siguiente conjunto de pasos en cada ubicación:

    1. C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\web.config

    2. C:\Windows\Microsoft.NET\Framework64\v2.0.50727\CONFIG\web.config

    System_CAPS_warningAdvertencia

    Habilitar FIPS es un cambio significativo en la configuración del sistema. Existen posibles efectos secundarios. Consulte artículo de KB, y la sección de la causa de este artículo de KB para obtener más información.

  2. En el <encryption> elemento, agregue el siguiente elemento:

      <symmetricAlgorithm  iv="SHA256"/>

  3. En el <connection autoSignIn="true" autoSignOutInterval="30"> elemento, en la <session> agregue el siguiente atributo: tokenAlgorithm="SHA256".

      <connection autoSignIn="True" autoSignOutInterval="30">
  <session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">

  4. En el <system.web> elemento, agregue el siguiente elemento:

      <machineKey validationKey="AutoGenerate,IsolateApps" decryptionKey="AutoGenerate,IsolateApps" validation="3DES" decryption="3DES"/>

  5. Guarde y cierre el archivo.