Web 控制台和报表服务器连接的数据加密

重要

此版本的 Operations Manager 已终止支持。 建议 升级到 Operations Manager 2022

可以将 Operations Manager Web 控制台和报表服务器配置为使用安全套接字层(SSL)连接,以确保传入请求和出站响应在传输之前都经过加密。 Operations Manager 可以使用符合联邦信息处理标准(FIPS)的算法在访问 Web 控制台时以及从报表服务器在操作控制台中运行报表时保护数据加密。

需要请求并生成单独的唯一证书,然后才能继续为任一角色配置 SSL 连接。

Web 控制台加密

安装 Web 控制台时,必须指定用于 Web 控制台的网站。 使用基于 Windows 的身份验证从浏览器访问 Web 控制台的默认端口与安装 Web 控制台时选择的网站相同。 如果选择的网站已配置为使用 SSL,则还必须选择“启用 SSL”。

还必须选择要用于 Web 控制台的身份验证模式。 对 Intranet 方案使用混合身份验证,对 Extranet 方案使用网络身份验证。

该 Web 控制台使用两种加密算法:

  • SHA256
  • HMACSHA256

这些算法可能不足以满足合规性标准。 例如,它们不符合联邦信息处理标准(FIPS)。 为了满足合规性标准,需要在合适的配置文件中将这些名称映射到合适的加密算法。

报表服务器加密

SQL Server Reporting Services 本机模式使用 HTTP SSL(安全套接字层)服务建立与报表服务器的加密连接。 如果在报表服务器计算机上的本地证书存储中安装了证书 (.cer) 文件,则可以将证书绑定到 Reporting Services URL 预留,以支持通过加密通道建立报表服务器连接。

由于 Internet Information Services (IIS) 也使用 HTTP SSL,因此,如果计划在同一台计算机上运行 IIS 并SQL 报告服务以支持 Operations Manager 报表服务器,则必须考虑一些重要的互操作性问题。 请务必查看本机模式报表服务器上“配置 SSL 连接”中的“与 IIS 的互操作性问题”部分,获取有关如何解决这些问题的指导。

若要在配置 Operations Manager 报表服务器以使用 SSL 之前配置用于 SSL 加密的 SQL Server Reporting Services 本机模式,请参阅 在本机模式报表服务器上配置 SSL 连接。

FIPS 符合性

安装这两个角色后,需要手动编辑多个配置文件,以便在承载 Web 控制台和 SQL Server 报表服务器的 IIS Web 服务器上启用此算法。

为 System Center Operations Manager 启用 FIPS 符合性要求使用的基础基础结构(服务器 OS、Active Directory 等)也符合 FIPS 要求。

下面是为 Web 控制台服务器配置 FIPS 所需的步骤的汇总列表。

  • 安装 Microsoft.EnterpriseManagement.Cryptography.dll。
  • 编辑 machine.config 文件的多个实例
  • 编辑 WebHost\web.config 文件。
  • 编辑 MonitoringView\web.config 文件。

需要全局程序集缓存工具,gacutil.exe。 此实用工具是 Windows .NET Framework SDK 的一部分,它是 Windows 软件开发工具包中包含的安装组件。 有关详细信息,请参阅 Gacutil.exe(全局程序集缓存工具)

下面是为报表服务器配置 FIPS 所需的步骤的汇总列表:

  • 更改 ReportServer 和 ReportManager Web.config 文件的配置

Certificates

可以将 Operations Manager Web 控制台和报表服务器配置为使用安全套接字层 (SSL) 连接,以确保在传输之前加密传入请求和出站响应。

需要请求并生成单独的证书,然后才能继续为任一角色配置 SSL 连接。 托管 Reporting Services 的 SQL Server 的唯一证书,另一个用于托管 Web 控制台的服务器。

后续步骤

  • 若要将 Web 控制台配置为使用 SSL 加密或支持 FIPS 符合性,请查看 使用 Web 控制台配置身份验证。

  • 若要配置报表服务器以支持 FIPS 符合性,请查看 使用报表服务器配置身份验证。