Dela via

  • Artikel

Konfigurera SSL-chiffer

 

Utgivet: mars 2016

Gäller för: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

System Center 2012 – Operations Manager kan hantera UNIX- och Linux-datorer utan ändringar av standardkonfigurationen för SSL-chiffer. För de flesta organisationer räcker det med standardkonfigurationen men du bör ändå kontrollera organisationens säkerhetsprinciper för att ta reda på om några ändringar behövs.

Använda SSL-chifferkonfigurationen

UNIX- och Linux-agenten i Operations Manager kommunicerar med Operations Manager-hanteringsservern genom att godkänna förfrågningar på port 1270 och besvara dessa förfrågningar med information. Förfrågningar sker via det WS-Management-protokoll som körs på en SSL-anslutning.

Första gången en SSL-anslutning upprättas för en förfrågan, förhandlar SSL-standardprotokollet med krypteringsalgoritmen, som även kallas chiffer, om vilken anslutning som ska användas. För Operations Manager förhandlar alltid hanteringsservern om att använda ett starkt chiffer så att stark kryptering används för nätverksanslutningen mellan hanteringsservern och UNIX- eller Linux-datorn.

Standardkonfigurationen för SSL-chiffer på UNIX- eller Linux-datorn styrs av det SSL-paket som installerades tillsammans med operativsystemet. Vanligtvis tillåter SSL-chifferkonfigurationen anslutningar med en rad olika chiffer, även gamla chiffer med lägre styrka. Eftersom chiffer med lägre styrka inte används i Operations Manager kan det strida mot säkerhetsprinciperna för vissa organisationer att port 1270 hålls öppen med möjlighet att använda chiffer med lägre styrka.

Om standardkonfigurationen för SSL-chiffer uppfyller säkerhetskraven för din organisation behöver du inte göra något.

Om standardkonfigurationen för SSL-chiffer strider mot organisationens säkerhetsprinciper, tillhandahåller UNIX- och Linux-agenten i Operations Manager ett konfigurationsalternativ för att ange chiffer som SSL kan godkänna på port 1270. Alternativet kan användas för att styra chiffren och för att SSL-konfigurationen ska överensstämma med företagets säkerhetsprinciper. När UNIX- och Linux-agenten i Operations Manager har installerats på alla hanterade datorer måste konfigurationsalternativet anges enligt anvisningarna i nästa avsnitt. I Operations Manager finns inget automatiskt eller inbyggt sätt att tillämpa konfigurationerna, utan varje organisation måste utföra konfigurationen med hjälp av lämplig extern funktion.

Ange konfigurationsalternativet sslCipherSuite för System Center 2012 R2

SSL-chiffren för port 1270 styrs via alternativet sslciphersuite i OMI-konfigurationsfilen omiserver.conf. Filen omiserver.conf finns i katalogen /etc/opt/microsoft/scx/conf/.

Formatet för alternativet sslciphersuite i filen är:

sslciphersuite=<cipher spec>

där <cipher spec> är de chiffer som är tillåtna, otillåtna och i vilken ordning tillåtna chiffer väljs.

Formatet för <cipher spec> är detsamma som för alternativet sslCipherSuite Apache HTTP-server 2.0. Mer information finns i SSLCipherSuite Directive (SSLCipherSuite-direktiv) i Apache-dokumentationen. All information på den här webbplatsen tillhandahålls av ägaren och användarna av webbplatsen. Microsoft ger inga garantier, vare sig uttryckliga eller underförstådda, avseende informationen på den här webbplatsen.

När du har angett konfigurationsalternativet sslCipherSuite måste du starta om UNIX- och Linux-agenten för att ändringen ska börja gälla. Du startar om UNIX- och Linux-agenten genom att köra följande kommando som finns i katalogen /etc/opt/microsoft/scx/bin/tools.

. setup.sh
scxadmin -restart

Ange konfigurationsalternativet sslCipherSuite för System Center 2012 SP1 och System Center 2012

SSL-chiffren för port 1270 styrs via alternativet sslCipherSuite med kommandot scxcimconfig som är installerat tillsammans med UNIX- och Linux-agenten i Operations Manager i katalogen /etc/opt/microsoft/scx/bin/tools. Du kan visa de fullständiga hjälpavsnitten genom att ange följande kommando i kommandotolken.

scxcimconfig –-help

Följande syntax visar ett vanligt kommando för att ange konfigurationsalternativet sslCipherSuite.

scxcimconfig –s sslCipherSuite='<cipher spec>' –p

där <cipher spec> är de chiffer som är tillåtna, otillåtna och i vilken ordning tillåtna chiffer väljs.

Formatet för <cipher spec> är detsamma som för alternativet sslCipherSuite i Apache HTTP-server 2.0. Mer information finns i SSLCipherSuite Directive (SSLCipherSuite-direktiv) i Apache-dokumentationen. All information på den här webbplatsen tillhandahålls av ägaren och användarna av webbplatsen. Microsoft ger inga garantier, vare sig uttryckliga eller underförstådda, avseende informationen på den här webbplatsen.

När du har angett konfigurationsalternativet sslCipherSuite måste du starta om UNIX- och Linux-agenten för att ändringen ska börja gälla. Starta om UNIX- och Linux-agenten genom att köra följande kommando, som också finns i katalogen /etc/opt/microsoft/scx/bin/tools.

scxadmin -restart