通过

  • 项目

管理 UNIX 和 Linux 计算机的证书

 

适用对象:System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, Operations Manager for System Center 2012, System Center 2012 SP1 - Operations Manager

利用 System Center 2012 – Operations Manager,你可以将代理部署到 UNIX 或 Linux 计算机。 无法进行 Kerberos 身份验证。 因此,在管理服务器与 UNIX 或 Linux 计算机之间使用证书。 在此方案中,证书由管理服务器进行自签名。 (虽然可以使用第三方证书,但不需要这些证书。)

你可以使用两种方法来部署代理。 你可以使用发现向导,或者你可以手动安装代理。 在这两种方法中,手动安装代理是更加安全的选项。 使用发现向导将代理强制部署到 UNIX 或 Linux 计算机时,你相信你要部署到的计算机确实是你认为要部署到的计算机。 使用发现向导部署代理时,所涉及的风险比在公共网络上或在外围网络中部署到计算机时涉及的风险大。

使用发现向导部署代理时,发现向导执行以下功能:

部署

发现向导将代理包复制到 UNIX 或 Linux 计算机,然后开始执行安装过程。

证书签名

Operations Manager 从代理检索证书、签名证书、将证书部署回代理,然后重新启动代理。

发现

此发现向导发现计算机,并执行测试以检查证书是否有效。 如果发现向导验证计算机可以被发现并且证书有效,则发现向导将新发现的计算机添加到 Operations Manager 数据库。

在手动部署代理时,你将执行通常由发现向导处理的前两个步骤:部署和证书签名。 然后,使用发现向导将计算机添加到 Operations Manager 数据库中。

如果系统上已经有了证书,则在代理安装过程中会重新使用它们。 不会创建新证书。 卸载代理时不会自动删除证书。 你必须手动删除 /etc/opt/microsoft/scx/ssl 文件夹中列出的证书。 要在安装过程中重新生成证书,则必须在安装代理之前删除此文件夹。

有关如何手动部署代理的说明,请参阅使用命令行在 UNIX 和 Linux 计算机上安装代理和证书,然后使用以下过程安装证书。

UNIX 和 Linux 防火墙注意事项

如果你在 UNIX 或 Linux 计算机上具有防火墙,则必须打开端口 1270(入站)。 无法配置此端口号。 如果要在低安全环境中部署代理并且使用发现向导来部署以及对证书进行签名,则必须打开 SSH 端口。 可以配置此 SSH 端口号。 默认情况下,SSH 使用入站 TCP 端口 22。