Konfigurera SSL-chiffer
Utgivet: mars 2016
Gäller för: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
System Center 2012 – Operations Manager kan hantera UNIX- och Linux-datorer utan ändringar av standardkonfigurationen för SSL-chiffer. För de flesta organisationer räcker det med standardkonfigurationen men du bör ändå kontrollera organisationens säkerhetsprinciper för att ta reda på om några ändringar behövs.
Använda SSL-chifferkonfigurationen
UNIX- och Linux-agenten i Operations Manager kommunicerar med Operations Manager-hanteringsservern genom att godkänna förfrågningar på port 1270 och besvara dessa förfrågningar med information. Förfrågningar sker via det WS-Management-protokoll som körs på en SSL-anslutning.
Första gången en SSL-anslutning upprättas för en förfrågan, förhandlar SSL-standardprotokollet med krypteringsalgoritmen, som även kallas chiffer, om vilken anslutning som ska användas. För Operations Manager förhandlar alltid hanteringsservern om att använda ett starkt chiffer så att stark kryptering används för nätverksanslutningen mellan hanteringsservern och UNIX- eller Linux-datorn.
Standardkonfigurationen för SSL-chiffer på UNIX- eller Linux-datorn styrs av det SSL-paket som installerades tillsammans med operativsystemet. Vanligtvis tillåter SSL-chifferkonfigurationen anslutningar med en rad olika chiffer, även gamla chiffer med lägre styrka. Eftersom chiffer med lägre styrka inte används i Operations Manager kan det strida mot säkerhetsprinciperna för vissa organisationer att port 1270 hålls öppen med möjlighet att använda chiffer med lägre styrka.
Om standardkonfigurationen för SSL-chiffer uppfyller säkerhetskraven för din organisation behöver du inte göra något.
Om standardkonfigurationen för SSL-chiffer strider mot organisationens säkerhetsprinciper, tillhandahåller UNIX- och Linux-agenten i Operations Manager ett konfigurationsalternativ för att ange chiffer som SSL kan godkänna på port 1270. Alternativet kan användas för att styra chiffren och för att SSL-konfigurationen ska överensstämma med företagets säkerhetsprinciper. När UNIX- och Linux-agenten i Operations Manager har installerats på alla hanterade datorer måste konfigurationsalternativet anges enligt anvisningarna i nästa avsnitt. I Operations Manager finns inget automatiskt eller inbyggt sätt att tillämpa konfigurationerna, utan varje organisation måste utföra konfigurationen med hjälp av lämplig extern funktion.
Ange konfigurationsalternativet sslCipherSuite för System Center 2012 R2
SSL-chiffren för port 1270 styrs via alternativet sslciphersuite i OMI-konfigurationsfilen omiserver.conf. Filen omiserver.conf finns i katalogen /etc/opt/microsoft/scx/conf/.
Formatet för alternativet sslciphersuite i filen är:
sslciphersuite=<cipher spec>
där <cipher spec> är de chiffer som är tillåtna, otillåtna och i vilken ordning tillåtna chiffer väljs.
Formatet för <cipher spec> är detsamma som för alternativet sslCipherSuite Apache HTTP-server 2.0. Mer information finns i SSLCipherSuite Directive (SSLCipherSuite-direktiv) i Apache-dokumentationen. All information på den här webbplatsen tillhandahålls av ägaren och användarna av webbplatsen. Microsoft ger inga garantier, vare sig uttryckliga eller underförstådda, avseende informationen på den här webbplatsen.
När du har angett konfigurationsalternativet sslCipherSuite måste du starta om UNIX- och Linux-agenten för att ändringen ska börja gälla. Du startar om UNIX- och Linux-agenten genom att köra följande kommando som finns i katalogen /etc/opt/microsoft/scx/bin/tools.
. setup.sh
scxadmin -restart
Ange konfigurationsalternativet sslCipherSuite för System Center 2012 SP1 och System Center 2012
SSL-chiffren för port 1270 styrs via alternativet sslCipherSuite med kommandot scxcimconfig som är installerat tillsammans med UNIX- och Linux-agenten i Operations Manager i katalogen /etc/opt/microsoft/scx/bin/tools. Du kan visa de fullständiga hjälpavsnitten genom att ange följande kommando i kommandotolken.
scxcimconfig –-help
Följande syntax visar ett vanligt kommando för att ange konfigurationsalternativet sslCipherSuite.
scxcimconfig –s sslCipherSuite='<cipher spec>' –p
där <cipher spec> är de chiffer som är tillåtna, otillåtna och i vilken ordning tillåtna chiffer väljs.
Formatet för <cipher spec> är detsamma som för alternativet sslCipherSuite i Apache HTTP-server 2.0. Mer information finns i SSLCipherSuite Directive (SSLCipherSuite-direktiv) i Apache-dokumentationen. All information på den här webbplatsen tillhandahålls av ägaren och användarna av webbplatsen. Microsoft ger inga garantier, vare sig uttryckliga eller underförstådda, avseende informationen på den här webbplatsen.
När du har angett konfigurationsalternativet sslCipherSuite måste du starta om UNIX- och Linux-agenten för att ändringen ska börja gälla. Starta om UNIX- och Linux-agenten genom att köra följande kommando, som också finns i katalogen /etc/opt/microsoft/scx/bin/tools.
scxadmin -restart
Se även
Ange autentiseringsuppgifter för åtkomst till UNIX- och Linux-datorer
Accessing UNIX and Linux Computers in Operations Manager (ansluta till UNIX- och Linux-datorer i Operations Manager)
Så här konfigurerar du sudo utökade privilegier och SSH nycklar
Funktioner som krävs för UNIX- och Linux-konton
Autentiseringsuppgifter du måste ha för åtkomst till UNIX- och Linux-datorer