Partager via

  • Article

Configuration du chiffrement SSL

 

Publication: mars 2016

S'applique à: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

System Center 2012 – Operations Manager gère correctement les ordinateurs UNIX et Linux sans les modifications apportées à la configuration de chiffrement SSL (Secure Sockets Layer) par défaut. Pour la plupart des organisations, la configuration par défaut est acceptable, mais vous devez vérifier les stratégies de sécurité de votre organisation pour déterminer si des modifications sont nécessaires.

Utilisation de la configuration de chiffrement SSL

L'agent UNIX et Linux Operations Manager communique avec le serveur d'administration Operations Manager en acceptant les demandes sur le port 1270 et en fournissant des informations en réponse à ces demandes. Les demandes sont effectuées en utilisant le protocole WS-Management qui s'exécute sur une connexion SSL.

Lorsque la connexion SSL est établie pour la première fois pour chaque demande, le protocole SSL standard négocie l'algorithme de chiffrement, connu comme un chiffrement pour la connexion à utiliser. Pour Operations Manager, le serveur d'administration négocie toujours pour utiliser un chiffrement de niveau supérieur afin que le chiffrement renforcé soit utilisé sur la connexion réseau entre le serveur d'administration et l'ordinateur UNIX ou Linux.

La configuration du chiffrement SSL par défaut sur l'ordinateur UNIX ou Linux est régie par le package SSL installé dans le cadre du système d'exploitation. En général, la configuration du chiffrement SSL autorise les connexions avec une variété de chiffrements, y compris les anciens chiffrements de niveau inférieur. Alors qu'Operations Manager n'utilise pas ces chiffrements de niveau inférieur, le fait d'avoir le port 1270 ouvert avec la possibilité d'utiliser un chiffrement de niveau inférieur va à l'encontre de la stratégie de sécurité de certaines organisations.

Si la configuration du chiffrement SSL par défaut est conforme à la stratégie de sécurité de votre organisation, aucune action n'est nécessaire.

Si la configuration du chiffrement SSL par défaut se révèle contradictoire avec la stratégie de sécurité de votre organisation, l'agent UNIX et Linux d'Operations Manager offre une option de configuration pour spécifier les chiffrements que SSL peut accepter sur le port 1270. Cette option permet de contrôler les chiffrements et de rendre la configuration SSL conforme à vos stratégies. Une fois l'agent UNIX et Linux d'Operations Manager installé sur chaque ordinateur géré, l'option de configuration doit être définie à l'aide des procédures décrites dans la section suivante.Operations Manager ne fournissant pas de méthode automatique ou intégrée pour appliquer ces configurations, chaque organisation doit effectuer la configuration à l'aide d'un mécanisme externe qui lui convient.

Définition de l'option de configuration sslCipherSuite pour System Center 2012 R2

Le contrôle des chiffrements SSL pour le port 1270 s'effectue en définissant l'option sslciphersuite dans le fichier de configuration OMI, omiserver.conf. Le fichier omiserver.conf est situé dans le répertoire /etc/opt/microsoft/scx/conf/.

L'option sslciphersuite contenue dans ce fichier présente le format suivant :

sslciphersuite=<cipher spec>

où <cipher spec> spécifie les chiffrements autorisés, interdits, et l'ordre dans lequel les chiffrements autorisés sont choisis.

Le format de <cipher spec> est le même que celui de l'option sslCipherSuite dans Apache HTTP Server version 2.0. Pour plus d'informations, consultez Directive SSLCipherSuite dans la documentation d'Apache. Toutes les informations de ce site sont fournies par le propriétaire ou les utilisateurs du site Web. Microsoft n'apporte aucune garantie, expresse, implicite ou légale, quant aux informations contenues sur ce site Web.

Après avoir défini l'option de configuration sslCipherSuite, vous devez redémarrer l'agent UNIX et Linux pour que la modification prenne effet. Pour redémarrer l'agent UNIX et Linux, exécutez la commande suivante, qui se trouve dans le répertoire /etc/opt/microsoft/scx/bin/tools.

. setup.sh
scxadmin -restart

Définition de l'option de configuration sslCipherSuite pour System Center 2012 SP1 et System Center 2012

Les chiffrements SSL pour le port 1270 sont contrôlés en définissant l'option sslCipherSuite à l'aide de la commande scxcimconfig, qui est installée dans le cadre de l'agent UNIX et Linux Operations Manager dans le répertoire /etc/opt/microsoft/scx/bin/tools. Pour afficher l'aide complète, à l'invite de commande, tapez la commande suivante.

scxcimconfig –-help

Pour définir l'option de configuration sslCipherSuite, la syntaxe suivante montre une commande classique.

scxcimconfig –s sslCipherSuite='<cipher spec>' –p

où <cipher spec> spécifie les chiffrements qui sont autorisés, interdits, et l'ordre dans lequel les chiffrements autorisés sont choisis.

Le format de <cipher spec> est le même que celui de l'option sslCipherSuite dans Apache HTTP Server version 2.0. Pour plus d'informations, consultez Directive SSLCipherSuite dans la documentation d'Apache. Toutes les informations de ce site sont fournies par le propriétaire ou les utilisateurs du site Web. Microsoft n'apporte aucune garantie, expresse, implicite ou légale, quant aux informations contenues sur ce site Web.

Après avoir défini l'option de configuration sslCipherSuite, vous devez redémarrer l'agent UNIX et Linux pour que la modification prenne effet. Pour redémarrer l'agent UNIX et Linux, exécutez la commande suivante, également située dans le répertoire /etc/opt/microsoft/scx/bin/tools.

scxadmin -restart