通过

  • 项目

配置 SSL 密码

 

发布时间: 2016年3月

适用对象:System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

System Center 2012 – Operations Manager 可以在不更改默认安全套接字层 (SSL) 密码配置的情况下正确管理 UNIX 和 Linux 计算机。 对于大多数组织,可以接受默认配置,但你应该检查组织的安全策略以确定是否需要更改。

使用 SSL 密码配置

Operations Manager UNIX 和 Linux 代理通过在端口 1270 上接受请求并提供信息来响应那些请求,与 Operations Manager 管理服务器通信。 请求是使用在 SSL 连接上运行的 WS-Management 协议提出来的。

当首次为每个请求建立 SSL 连接时,标准 SSL 协议会与加密算法(称为连接要使用的密码)进行协商。 对于 Operations Manager,管理服务器始终进行协商以使用高强度密码,以便在管理服务器与 UNIX 或 Linux 计算机之间的网络连接上使用强加密。

UNIX 或 Linux 计算机上的默认 SSL 密码配置由作为操作系统的一部分安装的 SSL 包进行管理。 SSL 密码配置通常允许使用各种密码进行连接,包括较低强度的较旧密码。 虽然 Operations Manager 不使用这些较低强度的密码,但让端口 1270 开着可能会允许使用较低强度的密码,这不符合某些组织的安全策略。

如果默认的 SSL 密码配置符合组织的安全策略,则不需要进行任何操作。

如果默认的 SSL 密码配置不符合组织的安全策略,则 Operations Manager UNIX 和 Linux 代理会提供一个指定 SSL 可以在端口 1270 上接受的密码的配置选项。 此选项可用于控制密码以及使 SSL 配置符合你的策略。 将 Operations Manager UNIX 和 Linux 代理安装在每台托管计算机上之后,必须使用下一节中所述的过程设置配置选项。Operations Manager 未提供任何用于应用这些配置的自动方法或内置方法;每个组织都必须使用最适合它的外部机制来执行此配置。

为 System Center 2012 R2 设置 sslCipherSuite 配置选项

若要控制用于端口 1270 的 SSL 密码,请在 OMI 配置文件 omiserver.conf 中设置 sslciphersuite 选项。omiserver.conf 文件位于目录 /etc/opt/microsoft/scx/conf/ 下。

此文件中的 sslciphersuite 选项的格式为:

sslciphersuite=<cipher spec>

其中 <cipher spec> 指定允许和禁止的密码,以及选择允许的密码的顺序。

在 Apache HTTP Server 2.0 版本中,<cipher spec> 的格式与 sslCipherSuite 选项的格式相同。 有关详细信息,请参阅 Apache 文档中的 SSLCipherSuite Directive(SSLCipherSuite 指令)。 网站的所有者或用户提供了关于此网站的所有信息。 Microsoft 对本网站中的信息并不作出任何明示、默示或法定的保证。

设置 sslCipherSuite 配置选项之后,必须重启 UNIX 和 Linux 代理以使所做的更改生效。 若要重启 UNIX 和 Linux 代理,请运行以下命令,它位于 /etc/opt/microsoft/scx/bin/tools 目录中。

. setup.sh
scxadmin -restart

为 System Center 2012 SP1 和 System Center 2012 设置 sslCipherSuite 配置选项

可以使用 sslCipherSuite 命令设置 scxcimconfig 选项来控制端口 1270 的 SSL 密码,此命令作为 Operations Manager UNIX 和 Linux 代理的一部分安装在 /etc/opt/microsoft/scx/bin/tools 目录中。 要查看完整的帮助,请在命令提示符处键入下列命令。

scxcimconfig –-help

为了设置 sslCipherSuite 配置选项,以下语法显示了典型命令。

scxcimconfig –s sslCipherSuite='<cipher spec>' –p

其中,<cipher spec> 指定允许和禁止的密码,以及选择允许的密码的顺序。

在 Apache HTTP Server 2.0 版本中,<cipher spec> 的格式与 sslCipherSuite 选项的格式相同。 有关详细信息,请参阅 Apache 文档中的 SSLCipherSuite Directive(SSLCipherSuite 指令)。 网站的所有者或用户提供了关于此网站的所有信息。 Microsoft 对本网站中的信息并不作出任何明示、默示或法定的保证。

设置 sslCipherSuite 配置选项之后,必须重启 UNIX 和 Linux 代理以使所做的更改生效。 要重启 UNIX 和 Linux 代理,请运行以下命令,这些命令也位于 /etc/opt/microsoft/scx/bin/tools 目录中。

scxadmin -restart