Поделиться через


Настройка шифров SSL

 

Опубликовано: Март 2016

Применимо к:System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

System Center 2012 — Operations Manager корректно управляет компьютерами с UNIX и Linux, не изменяя конфигурацию шифра протокола SSL по умолчанию. Для большинства организаций конфигурация по умолчанию приемлема, но вы должны проверить политики безопасности организации, чтобы определить, требуются ли изменения.

Использование конфигурации шифра SSL

Агент UNIX и Linux в Operations Manager взаимодействует с сервером управления Operations Manager, принимая запросы по порту 1270 и отправляя данные в ответ на эти запросы. Запросы выполняются с помощью протокола WS-Management, работающего в SSL-подключении.

При установке SSL-подключения в первый раз для каждого запроса стандартный протокол SSL согласовывает алгоритм шифрования, шифр, для применения при подключении. Для Operations Manager сервер управления всегда выбирает более стойкий шифр, чтобы в сетевом подключении между сервером управления и компьютером с UNIX или Linux использовалось стойкое шифрование.

Конфигурацией шифра SSL на компьютерах с UNIX и Linux по умолчанию управляет пакет SSL, установленный как часть операционной системы. Конфигурация шифра SSL обычно разрешает подключения с различными шифрами, в том числе со старыми, менее стойкими шифрами. Хотя Operations Manager не использует эти старые шифры, открытие порта 1270 с возможностью применения менее стойких шифров противоречит политике безопасности некоторых организаций.

Если конфигурация шифра SSL по умолчанию соответствует политике безопасности организации, другие действия не требуются.

Если конфигурация шифра SSL по умолчанию противоречит политике безопасности вашей организации, агент Operations Manager для UNIX и Linux предоставляет параметр конфигурации для указания шифров, которые протокол SSL может принимать по порту 1270. Этот параметр можно использовать для управления шифрами и приведения конфигурации SSL в соответствии с вашими политиками. После установки агента Operations Manager для UNIX и Linux на каждом управляемом компьютере данный параметр конфигурации нужно установить с помощью процедур, описанных в следующем разделе.Operations Manager не предоставляет автоматического или встроенного способа вызова этой команды. Каждая организация должна вызвать команду с помощью наиболее подходящего ей внешнего механизма.

Настройка параметра конфигурации sslCipherSuite для System Center 2012 R2

Шифры SSL для порта 1270 управляются с помощью параметра sslciphersuite в файле конфигурации OMI с именем omiserver.conf. Файл omiserver.conf расположен в каталоге /etc/opt/microsoft/scx/conf/.

Формат параметра sslciphersuite в этом файле имеет следующий вид.

sslciphersuite=<cipher spec>

Где <характеристики шифра> указывает разрешенные и запрещенные шифры, а также порядок выбора разрешенных шифров.

Формат <характеристик шифра> совпадает с форматом параметра sslCipherSuite на HTTP-сервере Apache версии 2.0. Дополнительные сведения см. в разделе Директива SSLCipherSuite документации Apache. Вся информация на этом сайте предоставлена владельцам или пользователями веб-сайта. Корпорация Майкрософт не предоставляет никаких гарантий, явных, подразумеваемых или предусмотренных законом, относительно информации, которая содержится на этом веб-сайте.

После установки параметра конфигурации sslCipherSuite необходимо перезапустить агент UNIX и Linux, чтобы изменения вступили в силу. Чтобы перезапустить агент UNIX и Linux, выполните следующую команду, расположенную в каталоге /etc/opt/microsoft/scx/bin/tools.

. setup.sh
scxadmin -restart

Настройка параметра конфигурации sslCipherSuite для System Center 2012 с пакетом обновления 1 (SP1) и System Center 2012

Шифры SSL для порта 1270 контролируются параметром sslCipherSuite, который устанавливается командой scxcimconfig, устанавливаемой вместе с агентом Operations Manager для UNIX и Linux в каталоге /etc/opt/microsoft/scx/bin/tools. Для просмотра полной справки в командной строке введите следующую команду.

scxcimconfig –-help

В следующем примере показана команда для установки параметра конфигурации sslCipherSuite.

scxcimconfig –s sslCipherSuite='<cipher spec>' –p

Где <cipher spec> указывает разрешенные и запрещенные шифры, а также порядок выбора разрешенных шифров.

Формат для <cipher spec> совпадает с форматом параметра sslCipherSuite в Apache HTTP Server 2.0. Дополнительные сведения см. в разделе Директива SSLCipherSuite документации Apache. Вся информация на этом сайте предоставлена владельцам или пользователями веб-сайта. Корпорация Майкрософт не предоставляет никаких гарантий, явных, подразумеваемых или предусмотренных законом, относительно информации, которая содержится на этом веб-сайте.

После установки параметра конфигурации sslCipherSuite необходимо перезапустить агент UNIX и Linux, чтобы изменения вступили в силу. Чтобы перезапустить агент UNIX и Linux, выполните следующую команду, также расположенную в каталоге /etc/opt/microsoft/scx/bin/tools.

scxadmin -restart