SSL-codering configureren
Gepubliceerd: maart 2016
Van toepassing op: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
System Center 2012 – Operations Manager beheert UNIX- en Linux-computers op de juiste manier zonder dat u wijzigingen hoeft aan te brengen in de SSL-coderingsconfiguratie (Secure Sockets Layer). De meeste organisaties kunnen de standaardconfiguratie gebruiken, maar u kunt het beste het beveiligingsbeleid van uw organisatie raadplegen om te bepalen of er wijzigingen nodig zijn.
De SSL-coderingsconfiguratie gebruiken
De UNIX- en Linux-agent van Operations Manager communiceert met de Operations Manager-beheerserver door aanvragen op poort 1270 te accepteren en informatie te verstrekken in antwoord op deze aanvragen. Het protocol WS-Management wordt gebruikt voor aanvragen bij een SSL-verbinding.
Als de SSL-verbinding voor het eerst tot stand wordt gebracht, onderhandelt het SSL-standaardprotocol over het versleutelingsalgoritme (ook wel codering genoemd) dat de verbinding moet gebruiken. Voor Operations Manager onderhandelt de beheerserver altijd over het gebruik van een sterke coderingsmethode, zodat er sterke versleuteling wordt gebruikt voor de netwerkverbinding tussen de beheerserver en de UNIX- of Linux-computer.
De standaardconfiguratie voor SSL-codering op UNIX- en Linux-computers wordt bepaald door het SSL-pakket dat als onderdeel van het besturingssysteem is geïnstalleerd. De SSL-coderingsconfiguratie staat doorgaans verbindingen met diverse coderingen toe, waaronder oudere coderingen die minder sterk zijn. Hoewel Operations Manager deze minder sterke coderingen niet gebruikt, is een open poort 1270 en de mogelijkheid om minder sterke coderingen te gebruiken in strijd met het beveiligingsbeleid van sommige organisaties.
Als de standaardconfiguratie voor SSL-codering voldoet aan het beveiligingsbeleid van uw organisatie, hoeft u geen actie te ondernemen.
Als de standaardconfiguratie voor SSL-codering in strijd is met het beveiligingsbeleid van uw organisatie, biedt de UNIX- en Linux-agent van Operations Manager een configuratieoptie waarbij u kunt aangeven welke coderingen SSL kan accepteren op poort 1270. Met deze optie kunt u de coderingen beheren, zodat de SSL-configuratie overeenstemt met uw beleid. Nadat u de UNIX- en Linux-agent van Operations Manager hebt geïnstalleerd op elke computer, moet u de configuratieoptie instellen met de procedures in de volgende sectie. Operations Manager biedt geen automatische of ingebouwde manier om deze configuraties toe te passen, dus elke organisatie moet de configuratie uitvoeren met een externe methode die het beste werkt in hun omgeving.
De configuratieoptie sslCipherSuite instellen voor System Center 2012 R2
De SSL-coderingen voor poort 1270 worden bepaald door de optie sslciphersuite in het OMI-configuratiebestand omiserver.conf. U vindt het bestand omiserver.conf in de map /etc/opt/microsoft/scx/conf/.
De notatie voor de optie sslciphersuite in dit bestand is als volgt:
sslciphersuite=<cipher spec>
waarbij <cipher spec> aangeeft welke coderingen zijn toegestaan, niet zijn toegestaan en in welke volgorde de toegestane coderingen worden gekozen.
De notatie voor <cipher spec> is hetzelfde als de notatie voor de optie sslCipherSuite van de Apache HTTP-server versie 2.0. Zie SSLCipherSuite in de Apache-documentatie voor meer informatie. Alle informatie op deze site wordt verstrekt door de eigenaar of de gebruikers van de website. Microsoft biedt geen enkele expliciete, impliciete of wettelijke garantie voor de informatie op deze website.
Nadat u de configuratieoptie sslCipherSuite hebt ingesteld, moet u de UNIX- en Linux-agent opnieuw starten om de wijziging door te voeren. Als u de UNIX- en Linux-agent opnieuw wilt starten, voert u de volgende opdracht uit, die u in de map /etc/opt/microsoft/scx/bin/tools vindt.
. setup.sh
scxadmin -restart
De configuratieoptie sslCipherSuite instellen voor System Center 2012 SP1 en System Center 2012
De SSL-coderingen voor poort 1270 worden bepaald door de optie sslCipherSuite die u instelt met de opdracht scxcimconfig. Deze opdracht wordt als onderdeel van de UNIX- en Linux-agent van Operations Manager geïnstalleerd in de map /etc/opt/microsoft/scx/bin/tools. Als u de volledige Help-tekst wilt bekijken, typt u de volgende opdracht bij de opdrachtprompt.
scxcimconfig –-help
De syntaxis voor de opdracht om de configuratieoptie sslCipherSuite in te stellen, is als volgt.
scxcimconfig –s sslCipherSuite='<cipher spec>' –p
waarbij <cipher spec> aangeeft welke coderingen zijn toegestaan, niet zijn toegestaan en in welke volgorde de toegestane coderingen worden gekozen.
De notatie voor <cipher spec> is hetzelfde als de notatie voor de optie sslCipherSuite van de Apache HTTP-server versie 2.0. Zie SSLCipherSuite in de Apache-documentatie voor meer informatie. Alle informatie op deze site wordt verstrekt door de eigenaar of de gebruikers van de website. Microsoft biedt geen enkele expliciete, impliciete of wettelijke garantie voor de informatie op deze website.
Nadat u de configuratieoptie sslCipherSuite hebt ingesteld, moet u de UNIX- en Linux-agent opnieuw starten om de wijziging door te voeren. Als u de UNIX- en Linux-agent opnieuw wilt starten, voert u de volgende opdracht uit, die u eveneens in de map /etc/opt/microsoft/scx/bin/tools vindt.
scxadmin -restart
Zie ook
Referenties instellen voor toegang tot UNIX en Linux-Computers
Toegang tot UNIX- en Linux-computers krijgen in Operations Manager
Sudo kan leiden tot misbruik en SSH sleutels configureren
Vereiste mogelijkheden voor UNIX- en Linux-Accounts
Referenties die u moet hebben voor toegang tot UNIX- en Linux-computers