Delen via


SSL-codering configureren

Belangrijk

Deze versie van Operations Manager heeft het einde van de ondersteuning bereikt. U wordt aangeraden een upgrade uit te voeren naar Operations Manager 2022.

System Center - Operations Manager beheert UNIX- en Linux-computers correct zonder wijzigingen in de standaardconfiguratie voor SSL-codering (Secure Sockets Layer). De meeste organisaties kunnen de standaardconfiguratie gebruiken, maar u kunt het beste het beveiligingsbeleid van uw organisatie raadplegen om te bepalen of er wijzigingen nodig zijn.

De SSL-coderingsconfiguratie gebruiken

De UNIX- en Linux-agent van Operations Manager communiceren met de Operations Manager-beheerserver door aanvragen op poort 1270 te accepteren en informatie op te geven als reactie op deze aanvragen. Het protocol WS-Management wordt gebruikt voor aanvragen bij een SSL-verbinding.

Als de SSL-verbinding voor het eerst tot stand wordt gebracht, onderhandelt het SSL-standaardprotocol over het versleutelingsalgoritme (ook wel codering genoemd) dat de verbinding moet gebruiken. Voor Operations Manager onderhandelt de beheerserver altijd over het gebruik van een sterke coderingsmethode, zodat er sterke versleuteling wordt gebruikt voor de netwerkverbinding tussen de beheerserver en de UNIX- of Linux-computer.

De standaardconfiguratie voor SSL-codering op UNIX- en Linux-computers wordt bepaald door het SSL-pakket dat als onderdeel van het besturingssysteem is geïnstalleerd. De configuratie van SSL-codering staat doorgaans verbindingen toe met verschillende coderingen, waaronder oudere coderingen met een lagere sterkte. Hoewel Operations Manager deze coderingen met een lagere sterkte niet gebruikt, is het openen van poort 1270 met de mogelijkheid om een codering met een lagere sterkte te gebruiken, in strijd met het beveiligingsbeleid van sommige organisaties.

Als de standaardconfiguratie voor SSL-codering voldoet aan het beveiligingsbeleid van uw organisatie, hoeft u geen actie te ondernemen.

Als de standaardconfiguratie voor SSL-codering in strijd is met het beveiligingsbeleid van uw organisatie, biedt de UNIX- en Linux-agent van Operations Manager een configuratieoptie waarbij u kunt aangeven welke coderingen SSL kan accepteren op poort 1270. Met deze optie kunt u de coderingen beheren, zodat de SSL-configuratie overeenstemt met uw beleid. Nadat de UNIX- en Linux-agent van Operations Manager op elke beheerde computer zijn geïnstalleerd, moet de configuratieoptie worden ingesteld met behulp van de procedures die in de volgende sectie worden beschreven. Operations Manager biedt geen automatische of ingebouwde manier om deze configuraties toe te passen; elke organisatie moet de configuratie uitvoeren met behulp van een extern mechanisme dat het beste voor de organisatie werkt.

De configuratieoptie sslCipherSuite instellen

De SSL-coderingen voor poort 1270 worden bepaald door de optie sslciphersuite in het OMI-configuratiebestand omiserver.conf. Het bestand omiserver.conf bevindt zich in de map /etc/opt/omi/conf/.

De notatie voor de optie sslciphersuite in dit bestand is als volgt:

sslciphersuite=<cipher spec>  

Waarbij <coderingsspecificatie> de toegestane en niet-toegestane coderingen aangeeft en de volgorde waarin de toegestane coderingen worden gekozen.

De indeling voor <coderingsspecificaties> is hetzelfde als de indeling voor de optie sslCipherSuite in Apache HTTP Server versie 2.0. Zie SSLCipherSuite Directive (SSLCipherSuite-instructie) in de Apache-documentatie voor meer informatie. Alle informatie op deze site wordt verstrekt door de eigenaar of de gebruikers van de website. Microsoft biedt geen enkele expliciete, impliciete of wettelijke garantie voor de informatie op deze website.

Nadat u de configuratieoptie sslCipherSuite hebt ingesteld, moet u de UNIX- en Linux-agent opnieuw starten om de wijziging door te voeren. Als u de UNIX- en Linux-agent opnieuw wilt starten, voert u de volgende opdracht uit, die u in de map /etc/opt/microsoft/scx/bin/tools vindt.

. setup.sh  
scxadmin -restart  

Tls-protocolversies in- of uitschakelen

Voor System Center – Operations Manager bevindt omiserver.conf zich op: /etc/opt/omi/conf/omiserver.conf

De volgende vlaggen moeten worden ingesteld om de TLS-protocolversies in of uit te schakelen. Zie OMI-server configureren voor meer informatie.

Eigenschap Doel
NoTLSv1_0 Indien waar, is het TLSv1.0-protocol uitgeschakeld.
NoTLSv1_1 Indien waar en indien beschikbaar op het platform, is het TLSv1.1-protocol uitgeschakeld.
NoTLSv1_2 Indien waar en indien beschikbaar op het platform, is het TLSv1.2-protocol uitgeschakeld.

Het protocol SSLv3 in- of uitschakelen

Operations Manager communiceert met UNIX en Linux-agents via HTTPS, met behulp van TLS- of SSL-versleuteling. Het SSL-handshakeproces onderhandelt over de sterkste versleuteling die zowel op de agent als de beheerserver beschikbaar is. U kunt SSLv3 verbieden, zodat een agent die niet kan onderhandelen over TLS-versleuteling niet terugvalt op SSLv3.

Voor System Center – Operations Manager bevindt omiserver.conf zich op: /etc/opt/omi/conf/omiserver.conf

SSLv3 uitschakelen

Wijzig omiserver.conf en stel de regel NoSSLv3 in op: NoSSLv3=true

SSLv3 inschakelen

Wijzig omiserver.conf en stel de regel NoSSLv3 in op: NoSSLv3=false

Notitie

De volgende update is van toepassing op Operations Manager 2019 UR3 en hoger.

Ondersteuningsmatrix voor coderingssuites

Distro Kernel OpenSSL-versie Hoogste ondersteunde coderingssuite/voorkeurssuite met coderingsmethoden Coderingsindex
Red Hat Enterprise Linux Server 7.5 (Maipo) Linux 3.10.0-862.el7.x86_64 OpenSSL 1.0.2k-fips (26 januari 2017) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Red Hat Enterprise Linux 8.3 (Ootpa) Linux 4.18.0-240.el8.x86_64 OpenSSL 1.1.1g FIPS (21 april 2020) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
Oracle Linux Server release 6.10 Linux4.1.12-124.16.4.el6uek.x86_64 OpenSSL 1.0.1e-fips (11 februari 2013) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Oracle Linux Server 7.9 Linux 5.4.17-2011.6.2.el7uek.x86_64 OpenSSL 1.0.2k-fips (26 januari 2017) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Oracle Linux Server 8.3 Linux 5.4.17-2011.7.4.el8uek.x86_64 OpenSSL 1.1.1g FIPS (21 april 2020) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
CentOS Linux 8 (Core) Linux 4.18.0-193.el8.x86_64 OpenSSL 1.1.1c FIPS (28 mei 2019) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
Ubuntu 16.04.5 LTS Linux 4.4.0-131-generic OpenSSL 1.0.2g (1 maart 2016) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Ubuntu 18.10 Linux 4.18.0-25-generic OpenSSL 1.1.1 (11 september 2018) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
Ubuntu 20.04 LTS Linux 5.4.0-52-generic OpenSSL 1.1.1f (31 maart 2020) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
SUSE Linux Enterprise Server 12 SP5 Linux 4.12.14-120-default OpenSSL 1.0.2p-fips (14 augustus 2018) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Debian GNU/Linux 10 (buster) Linux 4.19.0-13-amd64 OpenSSL 1.1.1d (10 september 2019) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }

Coderingen, MAC-algoritmen en algoritmen voor sleuteluitwisseling

In System Center Operations Manager 2016 en hoger worden de onderstaande coderingen, MAC-algoritmen en algoritmen voor sleuteluitwisseling weergegeven in de System Center Operations Manager SSH-module.

Coderingen die worden aangeboden door de SCOM SSH-module:

  • aes256-ctr
  • aes256-cbc
  • aes192-ctr
  • aes192-cbc
  • aes128-ctr
  • aes128-cbc
  • 3des-ctr
  • 3des-cbc

MAC-algoritmen die worden aangeboden door de SCOM SSH-module:

  • hmac-sha10
  • hmac-sha1-96
  • hmac-sha2-256

Algoritmen voor sleuteluitwisseling die worden aangeboden door de SCOM SSH-module:

  • diffie-hellman-group-exchange-sha256
  • diffie-hellman-group-exchange-sha1
  • diffie-hellman-group14-sha1
  • diffie-hellman-group14-sha256
  • diffie-hellman-group1-sha1
  • ecdh-sha2-nistp256
  • ecdh-sha2-nistp384
  • ecdh-sha2-nistp521

Uitgeschakelde SSL-heronderhandelingen in Linux-agent

Voor de Linux-agent zijn SSL-heronderhandelingen uitgeschakeld.

SSL-heronderhandelingen kunnen een beveiligingsprobleem in SCOM-Linux agent veroorzaken, waardoor externe aanvallers mogelijk gemakkelijker een Denial of Service kunnen veroorzaken door veel heronderhandelingen binnen één verbinding uit te voeren.

De Linux-agent maakt gebruik van opensource OpenSSL voor SSL-doeleinden.

De volgende versies worden alleen ondersteund voor heronderhandeling:

  • OpenSSL <= 1.0.2
  • OpenSSL >= 1.1.0h

Voor OpenSSL-versies 1.10 - 1.1.0g kunt u heronderhandeling niet uitschakelen omdat OpenSSL geen ondersteuning biedt voor heronderhandeling.

Volgende stappen