SSL 암호화 구성
게시: 2016년 3월
적용 대상: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
System Center 2012 - Operations Manager는 기본 SSL(Secure Sockets Layer) 암호 구성을 변경하지 않고 UNIX 및 Linux 컴퓨터를 올바르게 관리합니다. 대부분의 조직에 대해 기본 구성이 허용되지만 변경이 필요한지 여부를 확인하려면 조직의 보안 정책을 확인해야 합니다.
SSL 암호 구성 사용
Operations Manager UNIX 및 Linux 에이전트는 포트 1270의 요청을 승인하고 해당 요청에 대한 응답으로 정보를 제공하여 Operations Manager 관리 서버와 통신합니다. 요청은 SSL 연결에서 실행 중인 WS-Management 프로토콜을 사용하여 실행됩니다.
각 요청에 대해 SSL 연결이 먼저 설정되는 경우 표준 SSL 프로토콜은 사용할 연결의 암호로 알려진 암호화 알고리즘을 협상합니다.Operations Manager의 경우, 관리 서버는 항상 강력한 암호를 사용하여 관리 서버와 UNIX 또는 Linux 컴퓨터 간의 네트워크에서 강력한 암호화가 사용되도록 협상합니다.
UNIX 또는 Linux 컴퓨터의 기본 SSL 암호 구성은 운영 체제의 일부로 설치된 SSL 패키지로 관리됩니다. SSL 암호 구성은 일반적으로 강도가 약한 이전 암호를 비롯해 다양한 암호를 사용하여 연결을 허용합니다.Operations Manager에서 강도가 약한 암호를 사용하지 않는 동안 강도가 약한 암호를 사용할 가능성이 있는 포트 1270을 여는 것은 일부 조직의 보안 정책과 충돌합니다.
기본 SSL 암호 구성이 조직의 보안 정책을 충족하는 경우에는 아무런 조치가 필요하지 않습니다.
기본 SSL 암호 구성이 조직의 보안 정책과 충돌하는 경우 Operations Manager UNIX 및 Linux 에이전트는 SSL이 포트 1270에서 허용할 수 있는 암호를 지정하는 구성 옵션을 제공합니다. 이 옵션을 사용하여 암호를 제어하고 SSL 구성이 정책을 준수하도록 설정할 수 있습니다.Operations Manager UNIX 및 Linux 에이전트를 각 관리 컴퓨터에 설치한 후 다음 섹션에서 설명하는 절차에 따라 구성 옵션을 설정해야 합니다.Operations Manager는 이러한 구성을 적용하는 어떠한 자동 또는 기본 방법도 제공하지 않으므로 각 조직은 가장 적합한 외부 메커니즘을 사용하여 구성을 수행해야 합니다.
System Center 2012 R2용 sslCipherSuite 구성 옵션 설정
포트 1270에 대한 SSL 암호화는 OMI 구성 파일 omiserver.conf에서 sslciphersuite 옵션을 설정하여 제어합니다.omiserver.conf 파일은 /etc/opt/microsoft/scx/conf/ 디렉터리에 있습니다.
이 파일에서 sslciphersuite 옵션의 형식은 다음과 같습니다.
sslciphersuite=<cipher spec>
여기에서 <cipher spec>은 허용되거나 허용되지 않는 암호와 허용되는 암호가 선택된 순서를 지정합니다.
<cipher spec>의 형식은 Apache HTTP Server 버전 2.0의 sslCipherSuite 옵션 형식과 동일합니다. 자세한 내용은 Apache 설명서의 SSLCipherSuite Directive(SSLCipherSuite 지시문)를 참조하십시오. 이 사이트에 대한 모든 정보는 웹 사이트의 소유자 또는 사용자가 제공합니다. Microsoft는 이 웹 사이트의 정보와 관련하여 어떠한 명시적, 묵시적 또는 법적 보증도 하지 않습니다.
sslCipherSuite 구성 옵션을 설정한 후 변경 내용을 적용하려면 UNIX 및 Linux 에이전트를 다시 시작해야 합니다. UNIX 및 Linux 에이전트를 다시 시작하려면 /etc/opt/microsoft/scx/bin/tools 디렉터리에 있는 다음과 같은 명령을 실행합니다.
. setup.sh
scxadmin -restart
System Center 2012 SP1 및 System Center 2012용 sslCipherSuite 구성 옵션 설정
포트 1270에 대한 SSL 암호는 sslCipherSuite 디렉터리에서 scxcimconfig UNIX 및 Linux 에이전트의 일부로 설치된 Operations Manager 명령을 통해 /etc/opt/microsoft/scx/bin/tools을 설정하여 제어됩니다. 전체 도움말을 보려면 명령 프롬프트에서 다음 명령을 입력합니다.
scxcimconfig –-help
다음 구문에서는 sslCipherSuite 구성 옵션을 설정하기 위한 일반 명령을 표시합니다.
scxcimconfig –s sslCipherSuite='<cipher spec>' –p
여기서 <cipher spec>은 허용되거나 허용되지 않는 암호와 허용되는 암호가 선택된 순서를 지정합니다.
<cipher spec>의 형식은 Apache HTTP Server 버전 2.0의 sslCipherSuite 옵션 형식과 동일합니다. 자세한 내용은 Apache 설명서의 SSLCipherSuite Directive(SSLCipherSuite 지시문)를 참조하십시오. 이 사이트에 대한 모든 정보는 웹 사이트의 소유자 또는 사용자가 제공합니다. Microsoft는 이 웹 사이트의 정보와 관련하여 어떠한 명시적, 묵시적 또는 법적 보증도 하지 않습니다.
sslCipherSuite 구성 옵션을 설정한 후 변경 내용을 적용하려면 UNIX 및 Linux 에이전트를 다시 시작해야 합니다. UNIX 및 Linux 에이전트를 다시 시작하려면 /etc/opt/microsoft/scx/bin/tools 디렉터리에도 있는 다음 명령을 실행하십시오.
scxadmin -restart