Udostępnij za pośrednictwem

  • Artykuł

Konfigurowanie mechanizmów szyfrowania SSL

 

Opublikowano: marzec 2016

Dotyczy: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

Program System Center 2012 – Operations Manager poprawnie zarządza komputerami z systemami UNIX i Linux, bez potrzeby wprowadzania zmian w domyślnej konfiguracji szyfrowania Secure Sockets Layer (SSL). W przypadku większości organizacji można zaakceptować konfigurację domyślną, wskazane jest jednak sprawdzenie zasad zabezpieczeń organizacji w celu ustalenia, czy zmiany są wymagane.

Używanie konfiguracji szyfrowania SSL

Agent systemów UNIX i Linux programu Operations Manager komunikuje się z serwerem zarządzania programu Operations Manager, akceptując żądania na porcie 1270 i przekazując informacje w odpowiedzi na te żądania. Żądania są tworzone z zastosowaniem protokołu usługi WS-Management, który jest uruchomiony w ramach połączenia SSL.

Gdy dla każdego zlecenia po raz pierwszy nawiązywane jest połączenie SSL, standardowy protokół SSL negocjuje algorytm szyfrowania (zwany szyfrem) na potrzeby tego połączenia. W przypadku programu Operations Manager serwer zarządzania zawsze negocjuje użycie bardzo silnego szyfru, aby w ramach połączenia sieciowego między serwerem zarządzania a komputerem z systemem UNIX lub Linux było stosowane silne szyfrowanie.

Domyślna konfiguracja szyfrowania SSL na komputerze z systemem UNIX lub Linux zależy od pakietu SSL zainstalowanego w ramach systemu operacyjnego. Konfiguracja szyfrowania SSL zezwala zazwyczaj na połączenia korzystające z różnych szyfrów, w tym starszych szyfrów o mniejszej sile. Z drugiej strony, program Operations Manager nie używa tych szyfrów o mniejszej sile, ponieważ otwarcie portu 1270 z możliwością użycia szyfru o mniejszej sile jest sprzeczne z zasadami zabezpieczeń niektórych organizacji.

Jeśli domyślna konfiguracja szyfrowania SSL spełnia zasady zabezpieczeń organizacji, nie jest konieczne podejmowanie żadnych działań.

Jeśli natomiast domyślna konfiguracja szyfrowania SSL narusza zasady zabezpieczeń organizacji, agent systemów UNIX i Linux programu Operations Manager zapewnia opcję konfiguracji pozwalającą określić szyfry, jakie protokół SSL może akceptować na porcie 1270. Tej opcji można użyć do kontroli szyfrów i zapewnienia zgodności konfiguracji SSL z zasadami. Po zainstalowaniu agenta systemów UNIX i Linux programu Operations Manager na każdym zarządzanym komputerze, opcję konfiguracji należy ustawić w ramach procedur opisanych w następnej części. Program Operations Manager nie zapewnia żadnego automatycznego ani wbudowanego sposobu zastosowania tych konfiguracji; każda organizacja musi przeprowadzić konfigurację z zastosowaniem najlepszego dla siebie mechanizmu wewnętrznego.

Ustawianie opcji konfiguracji sslCipherSuite dla programu System Center 2012 R2

Szyfry SSL dla portu 1270 są ustawiane za pomocą opcji sslciphersuite w pliku konfiguracji OMI omiserver.conf. Plik omiserver.conf znajduje się w katalogu /etc/opt/microsoft/scx/conf/.

Format opcji sslciphersuite w tym pliku jest następujący:

sslciphersuite=<cipher spec>

gdzie <cipher spec> określa szyfry dozwolone, niedozwolone oraz kolejność wybierania dozwolonych szyfrów.

Format parametru <cipher spec> jest taki sam jak format opcji sslCipherSuite w programie Apache HTTP Server w wersji 2.0. Szczegółowe informacje można znaleźć w temacie SSLCipherSuite Directive w dokumentacji oprogramowania Apache. Wszystkie informacje w tej witrynie sieci Web są udostępniane przez jej właściciela lub użytkowników. Firma Microsoft nie udziela żadnych gwarancji (w sposób wyraźny, dorozumiany lub ustawowy) odnośnie do informacji dostępnych w tej witrynie sieci Web.

Po ustawieniu opcji konfiguracji sslCipherSuite należy ponownie uruchomić agenta systemów UNIX i Linux, aby ta zmiana została uwzględniona. Aby ponownie uruchomić agenta systemów UNIX i Linux, uruchom poniższe polecenie znajdujące się w katalogu /etc/opt/microsoft/scx/bin/tools.

. setup.sh
scxadmin -restart

Ustawianie opcji konfiguracji sslCipherSuite dla programów System Center 2012 SP1 i System Center 2012

Szyfry SSL dla portu 1270 są ustawiane za pomocą opcji sslCipherSuite, z zastosowaniem polecenia scxcimconfig, które jest zainstalowane w ramach agenta systemów UNIX i Linux programu Operations Manager w katalogu /etc/opt/microsoft/scx/bin/tools. Aby wyświetlić pełną Pomoc, w wierszu polecenia wpisz następujące polecenie:

scxcimconfig –-help

Aby ustawić opcję konfiguracji sslCipherSuite, typowe polecenie musi mieć następującą składnię:

scxcimconfig –s sslCipherSuite='<cipher spec>' –p

gdzie <cipher spec> określa szyfry dozwolone, niedozwolone oraz kolejność wybierania dozwolonych szyfrów.

Format parametru <cipher spec> jest taki sam jak format opcji sslCipherSuite w programie Apache HTTP Server w wersji 2.0. Szczegółowe informacje można znaleźć w temacie SSLCipherSuite Directive w dokumentacji oprogramowania Apache. Wszystkie informacje w tej witrynie sieci Web są udostępniane przez jej właściciela lub użytkowników. Firma Microsoft nie udziela żadnych gwarancji (w sposób wyraźny, dorozumiany lub ustawowy) odnośnie do informacji dostępnych w tej witrynie sieci Web.

Po ustawieniu opcji konfiguracji sslCipherSuite należy ponownie uruchomić agenta systemów UNIX i Linux, aby ta zmiana została uwzględniona. Aby ponownie uruchomić agenta systemów UNIX i Linux, uruchom poniższe polecenie znajdujące się również w katalogu /etc/opt/microsoft/scx/bin/tools.

scxadmin -restart