SSL 暗号の構成
発行: 2016年3月
適用対象: System Center 2012 R2 Operations Manager,System Center 2012 - Operations Manager,System Center 2012 SP1 - Operations Manager
System Center 2012 – Operations Manager は、既定の SSL (Secure Sockets Layer) 暗号構成を変更せずに UNIX および Linux コンピューターを適切に管理します。 通常は既定の構成をそのまま使用できますが、組織のセキュリティ ポリシーを見直して、変更が必要かどうかを確認する必要があります。
SSL 暗号構成の使用
Operations Manager UNIX および Linux エージェントは、ポート 1270 で要求を受信し、この要求に対する応答として情報を提供することで、Operations Manager 管理サーバーと通信します。 要求は、SSL 接続を介して実行される WS-Management プロトコルを使用して生成されます。
最初に各要求に対して SSL 接続が確立されるときに、標準 SSL プロトコルは、接続で使用される「暗号」(暗号化アルゴリズム) をネゴシエートします。Operations Manager では、管理サーバーと UNIX または Linux コンピューター間のネットワーク接続で強力な暗号化が使用されるように、常に管理サーバーが強度の高い暗号を使用するようにネゴシエートします。
UNIX または Linux コンピューターの既定の SSL 暗号構成は、オペレーティング システムの一部としてインストールされる SSL パッケージにより管理されます。 通常 SSL 暗号構成では、強度の低い旧式の暗号も含め、各種の暗号を使用した接続が許可されます。Operations Manager では強度の低い暗号は使用されませんが、ポート 1270 を開いた状態にしておくと強度の低い暗号が使用される可能性が生じるため、組織によってはセキュリティ ポリシーとの矛盾が生じる場合があります。
既定の SSL 暗号構成が組織のセキュリティ ポリシーを満たしている場合は、特別な操作は必要ありません。
既定の SSL 暗号構成が組織のセキュリティ ポリシーを満たしていない場合は、Operations Manager UNIX および Linux エージェントで、ポート 1270 で SSL が受信できる暗号を指定するオプションが提供されます。 このオプションを使用して、暗号を制御し、SSL 構成をポリシーに準拠させることができます。Operations Manager の UNIX および Linux エージェントを管理された各コンピューターにインストールした後で、次のセクションで説明する手順を使用して構成オプションを設定する必要があります。Operations Manager では、こうした構成を自動で適用したり、あらかじめ適用したりできません。そのため、外部メカニズムを使って各組織に最適な構成を行う必要があります。
System Center 2012 R2 用 sslCipherSuite 構成オプションの設定
ポート 1270 の SSL 暗号は、OMI 構成ファイル omiserver.conf の sslciphersuite オプションを設定して管理します。omiserver.conf ファイルはディレクトリ /etc/opt/microsoft/scx/conf/ にあります。
このファイルの sslciphersuite オプションの形式は次のとおりです。
sslciphersuite=<cipher spec>
ここでは、<cipher spec> により、許可される暗号、禁止される暗号、および、許可された暗号の選択順序が指定されます。
<cipher spec> の形式は、Apache HTTP Server バージョン 2.0 の sslCipherSuite オプションの形式と同じです。 詳細については、Apache のドキュメントの「SSLCipherSuite Directive (SSLCipherSuite ディレクティブ)」を参照してください。 このサイトに表示される情報はすべて、この Web サイトの所有者またはユーザーにより掲載されます。 この Web サイトの情報について、Microsoft では明示的、黙示的、または法的保証を一切いたしません。
sslCipherSuite 構成オプションの設定後、変更を有効にするには UNIX および Linux エージェントを再起動する必要があります。 UNIX および Linux エージェントを再起動するには、/etc/opt/microsoft/scx/bin/tools ディレクトリにある次のコマンドを実行します。
. setup.sh
scxadmin -restart
System Center 2012 SP1 および System Center 2012 用 sslCipherSuite 構成オプションの設定
ポート 1270 の SSL 暗号は、sslCipherSuite コマンドを使用して scxcimconfig オプションを設定することで制御します。このコマンドは、Operations Manager UNIX および Linux エージェントの一部として /etc/opt/microsoft/scx/bin/tools ディレクトリにインストールされています。 詳しいヘルプを表示するには、コマンド プロンプトで、次のコマンドを入力します。
scxcimconfig –-help
次の構文は、sslCipherSuite 構成オプションを設定する標準的なコマンドを示しています。
scxcimconfig –s sslCipherSuite='<cipher spec>' –p
ここで、<cipher spec> により、許可される暗号、禁止される暗号、および、許可された暗号の選択順序が指定されます。
<cipher spec> の形式は、Apache HTTP Server バージョン 2.0 の sslCipherSuite オプションの形式と同じです。 詳細については、Apache のドキュメントの「SSLCipherSuite Directive (SSLCipherSuite ディレクティブ)」を参照してください。 このサイトに表示される情報はすべて、この Web サイトの所有者またはユーザーにより掲載されます。 この Web サイトの情報について、Microsoft では明示的、黙示的、または法的保証を一切いたしません。
sslCipherSuite 構成オプションの設定後、変更を有効にするには UNIX および Linux エージェントを再起動する必要があります。 UNIX および Linux エージェントを再起動するには、次のコマンドを実行します。このコマンドは、/etc/opt/microsoft/scx/bin/tools にも格納されています。
scxadmin -restart