Jak używać certyfikatu urzędu certyfikacji na agencie SCX

W tym artykule przedstawiono sposób konwertowania certyfikatu z podpisem własnym na agencie programu System Center Operations Manager (SCOM) Unix/Linux (SCX) na podpisany certyfikat urzędu certyfikacji.

Tworzenie szablonu certyfikatu urzędu certyfikacji

Na serwerze urzędu certyfikacji w środowisku SCOM wykonaj następujące kroki, aby utworzyć szablon certyfikatu:

1. Otwórz urząd certyfikacji z Menedżer serwera.

2. Kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów i wybierz polecenie Zarządzaj.

3. Wybierz szablon Komputer i wybierz pozycję Duplikuj szablon.

4. Na karcie Ogólne ustaw nazwę szablonu i zmień okres ważności zgodnie ze standardami.

   

5. Na karcie Obsługa żądań zaznacz opcję Zezwalaj na eksportowanie klucza prywatnego.

   

6. Na karcie Rozszerzenia wybierz pozycję Zasady>aplikacji Edytuj. Usuń uwierzytelnianie klienta z rozszerzenia Zasady aplikacji. Upewnij się, że rozszerzenie Zasady aplikacji ma tylko uwierzytelnianie serwera.

   

7. Na karcie Nazwa podmiotu wybierz pozycję Podaj w żądaniu. Zaakceptuj monit. Nie ma ryzyka.

   

8. Wybierz przycisk OK.

9. Wybierz utworzony szablon i przejdź do pozycji Właściwości.

10. Kliknij Zabezpieczenia. Dodaj obiekt komputera serwera, na którym zostanie zarejestrowany certyfikat.

    

11. Wybierz uprawnienia jako Odczyt, Zapis i Zarejestruj.

    

12. Kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów. Wybierz pozycję Nowy>szablon certyfikatu do wystawienia.

13. Wybierz utworzony szablon i wybierz przycisk OK.

Wystawianie certyfikatu urzędu certyfikacji z szablonu

1. W systemie Windows Server, który otrzymał uprawnienie do szablonu, otwórz magazyn certyfikatów komputera.

2. W obszarze Osobiste kliknij prawym przyciskiem myszy pozycję Certyfikaty i wybierz pozycję Wszystkie zadania>Zażądaj nowego certyfikatu...

   

3. Wybierz przycisk Dalej>.

4. Znajdź szablon.

5. Aby zarejestrować ten certyfikat, wybierz pozycję Więcej informacji. Kliknij tutaj, aby skonfigurować ustawienia.

   

6. Dodaj następujące szczegóły, najlepiej w następującej kolejności:

   1. CN=<nazwa serwera FQDN>
   2. CN=<Nazwa serwera>
   3. DC=<składnik> domeny, na przykład Contoso
   4. DC=<składnik> domeny, na przykład com

   

   Jeśli masz inne składniki domeny, upewnij się, że znajdują się one w certyfikacie.

7. Wybierz pozycję Zakończ po pomyślnej rejestracji.

8. Kliknij prawym przyciskiem myszy certyfikat i wyeksportuj go przy użyciu klucza prywatnego. Na koniec powinien istnieć plik pfx.

9. Wyeksportuj certyfikat urzędu certyfikacji i pośredniego urzędu certyfikacji (jeśli dotyczy) do magazynu głównego wszystkich serwerów zarządzania/bram w puli zasobów systemu UNIX/Linux.

Kopiowanie i edytowanie certyfikatu na serwerze z systemem Unix/Linux

1. Skopiuj certyfikat na serwer z systemem Unix/Linux, dla którego wystawiono certyfikat.

2. Wyeksportuj klucz prywatny przy użyciu następującego polecenia:

   openssl pkcs12 -in <FileName>.pfx -nocerts -out key.pem
   

   Podczas eksportowania klucza prywatnego z magazynu certyfikatów należy ustawić nowe hasło dla nowego pliku klucza.

   

   Po zakończeniu eksportowania powinien zostać wyświetlony plik key.pem :

   

3. Wyeksportuj certyfikat przy użyciu następującego polecenia:

   openssl pkcs12 -in <FileName>.pfx -clcerts -nokeys -out omi.pem
   

   Podczas eksportowania certyfikatu z magazynu certyfikatów należy wprowadzić hasło dla pliku FileName.pfx>.<

   

   Po zakończeniu eksportowania powinien zostać wyświetlony plik omi.pem :

   

4. Usuń hasło z klucza prywatnego przy użyciu następującego polecenia:

   openssl rsa -in key.pem -out omikey.pem 
   

   

   Ta akcja jest wymagana, ponieważ agent systemu Linux nie zna hasła do pliku.

5. Przenieś plik omikey.pem do katalogu Open Management Infrastructure (OMI), używając następującego polecenia:

   mv omikey.pem /etc/opt/omi/ssl/omikey.pem 
   

6. Uruchom ponownie agenta SCX, używając następującego polecenia:

   scxadmin -restart
   

7. Upewnij się, że procesy omi są uruchomione po ponownym uruchomieniu agenta:

   ps -ef | grep omi | grep -v grep
   

   

Sprawdź, czy certyfikat jest podpisany przez urząd certyfikacji

1. Uruchom następujące polecenie na agencie, aby sprawdzić, czy certyfikat jest podpisany przez urząd certyfikacji:

   openssl x509 -noout -in /etc/opt/microsoft/scx/ssl/scx.pem -subject -issuer -dates
   
   subject= /DC=lab/DC=nfs/CN=RHEL7-02/CN=RHEL7-02.nfs.lab
   issuer= /DC=lab/DC=nfs/CN=nfs-DC-CA
   notBefore=Aug  1 13:16:47 2023 GMT
   notAfter=Jul 31 13:16:47 2024 GMT
   

   W typowych scenariuszach będzie to issuer serwer zarządzania/brama w puli zasobów systemu UNIX/Linux w następujący sposób:

   openssl x509 -noout -in /etc/opt/microsoft/scx/ssl/scx.pem -subject -issuer -dates
   
   subject=CN = rhel8-01.nfs.lab, CN = rhel8-01.nfs.lab
   issuer=CN = SCX-Certificate, title = SCX55a8126f-c88a-4701-9754-8625324426ff, DC = SCOM2022MS3
   notBefore=Jul 25 11:36:44 2022 GMT
   notAfter=Jul 25 12:12:14 2033 GMT
   

2. Uruchom ślad sieciowy na jednym z serwerów zarządzania/bram w puli zasobów systemu UNIX/Linux.

3. Uruchom następujące WinRM polecenie względem agenta i upewnij się, że otrzymasz dane wyjściowe wystąpienia:

   winrm enumerate http://schemas.microsoft.com/wbem/wscim/1/cim-schema/2/SCX_Agent?__cimnamespace=root/scx -auth:basic -remote:https://<server name>:1270 -username:<username> -encoding:utf-8
   

4. W śladzie sieci przefiltruj adres IP agenta.

5. W pakiecie Certyfikat, Serwer Hello Done powinien być widoczny certyfikat podpisany przez urząd certyfikacji, a nie używany certyfikat z podpisem własnym.