Az SSL-titkosítások konfigurálása
Közzétett: 2016. március
Érvényes: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
A System Center 2012 – Operations Manager az alapértelmezett SSL-rejtjelkonfiguráció módosítása nélkül helyesen kezeli a UNIX és a Linux rendszerű számítógépeket. A legtöbb szervezet számára elfogadható az alapértelmezett konfiguráció, de azt javasoljuk, hogy a szervezet biztonsági házirendjében tekintse meg, hogy van-e szükség változtatásokra.
Az SSL-rejtjelkonfiguráció használata
Az Operations Manager UNIX- és Linux-ügynök az Operations Manager felügyeleti kiszolgálóval való kommunikáció során az 1270-es porton fogadja a kéréseket, és azokra elküldi a szükséges információkat. A kérések a WS-felügyeleti protokoll használatával jönnek létre, amely SSL-kapcsolaton fut.
Amikor az egyes kérésekhez első alkalommal létesül SSL-kapcsolat, a szabványos SSL protokoll egyezteti a használandó kapcsolat titkosítási algoritmusát, más nével rejtjelét. Az Operations Manager rendszerhez a felügyeleti kiszolgáló az egyeztetés során mindig erős rejtjelet igényel annak érdekében, hogy a felügyeleti kiszolgáló és a UNIX vagy Linux rendszerű számítógép közötti kapcsolat erős titkosítást használjon.
A UNIX vagy Linux rendszerű számítógépen az alapértelmezett SSL-rejtjelkonfigurációt az az SSL-csomag határozza meg, amelyet az operációs rendszer részeként telepített. Az SSL-rejtjelkonfiguráció általában számos különböző rejtjel használatát támogatja a kapcsolathoz, ideértve a kevésbé erős, régebbi rejtjeleket is. Az Operations Manager ugyan nem használja ezeket a gyengébb rejtjeleket, azonban a gyengébb rejtjelek használatát támogató 1270-es port meg van nyitva, ami esetleg ellenkezik egyes szervezetek biztonsági házirendjével.
Ha az alapértelmezett SSL-rejtjelkonfiguráció megfelel a szervezet biztonsági házirendjének, akkor semmit nem kell tennie.
Ha az alapértelmezett SSL-rejtjelkonfiguráció nem felel meg a szervezet biztonsági házirendjének, akkor az Operations Manager UNIX- és Linux-ügynöke olyan konfigurációs beállítást biztosít, amellyel megadhatók azok a rejtjelek, amelyeket az SSL elfogadhat az 1270-es porton keresztül. Ez a beállítás a rejtjelek vezérlésére, illetve az SSL-konfigurációnak a házirendekkel történő egyeztetéséhez használható. Miután az Operations Manager UNIX- és Linux-ügynököt telepítette minden számítógépre, a konfigurációs beállítást meg kell adni a következő részben leírtaknak megfelelően. Az Operations Manager nem rendelkezik automatikus vagy beépített módszerrel a konfiguráció alkalmazásához, ezért az egyes szervezeteknek a számukra legmegfelelőbb külső mechanizmust kell használniuk a konfiguráláshoz.
Az sslCipherSuite konfigurációs beállítás megadása a System Center 2012 R2 rendszerben
Az 1270-es port SSL-rejtjeleit az OMI konfigurációs fájl (omiserver.conf) sslciphersuite beállításával adhatja meg. Az omiserver.conf fájl a /etc/opt/microsoft/scx/conf/ könyvtárban található.
A fájlban az sslciphersuite beállítás formátuma a következő:
sslciphersuite=<cipher spec>
ahol <cipher spec> megadja az engedélyezett és a letiltott rejtjeleket, és azt a sorrendet, amely szerint a rendszer az engedélyezett rejtjelek közül választ.
A <cipher spec> formátuma megegyezik az Apache HTTP Server 2.0-s verziójában az sslCipherSuite beállítás formátumával. További tudnivalók: SSLCipherSuite irányelv, Apache-dokumentáció. Ezen webhely összes információját a webhely tulajdonosa vagy annak felhasználói bocsátották rendelkezésre. A Microsoft nem vállal semmilyen kifejezett vagy vélelmezett felelősséget a webhelyen található információkért.
Az sslCipherSuite konfigurációs beállítás megadása után indítsa újra a UNIX- és a Linux-ügynököt, hogy a módosítás életbe lépjen. A UNIX- és a Linux-ügynök újraindításához futtassa a /etc/opt/microsoft/scx/bin/tools könyvtárban található következő parancsot.
. setup.sh
scxadmin -restart
Az sslCipherSuite konfigurációs beállítás megadása a System Center 2012 SP1 és a System Center 2012 rendszerben
Az 1270-es port SSL-rejtjelei az scxcimconfig parancs használatával beállítható sslCipherSuite beállítással vezérelhető. A parancs az Operations Manager UNIX- és Linux-ügynök /etc/opt/microsoft/scx/bin/tools könyvtárba való telepítésének részeként lett telepítve. A teljes súgó megtekintéséhez a parancssorba írja be az alábbi parancsot.
scxcimconfig –-help
Az sslCipherSuite konfigurációs beállítás megadásához tekintse meg az alábbi, jellemző szintaktikával rendelkező parancsot.
scxcimconfig –s sslCipherSuite='<cipher spec>' –p
ahol <cipher spec> megadja az engedélyezett és a letiltott rejtjeleket, és azt a sorrendet, amely szerint a rendszer az engedélyezett rejtjelek közül választ.
A <cipher spec> formátuma megegyezik az Apache HTTP Server 2.0-s verziójában az sslCipherSuite beállítás formátumával. További tudnivalók: SSLCipherSuite irányelv, Apache-dokumentáció. Ezen webhely összes információját a webhely tulajdonosa vagy annak felhasználói bocsátották rendelkezésre. A Microsoft nem vállal semmilyen kifejezett vagy vélelmezett felelősséget a webhelyen található információkért.
Az sslCipherSuite konfigurációs beállítás megadása után indítsa újra a UNIX- és a Linux-ügynököt, hogy a módosítás életbe lépjen. A UNIX- és a Linux-ügynök újraindításához futtassa a következő parancsot, amely szintén a /etc/opt/microsoft/scx/bin/tools könyvtárban található.
scxadmin -restart
Lásd még
Hitelesítő adatok beállítása UNIX és Linux rendszerű számítógépek eléréséhez
Accessing UNIX and Linux Computers in Operations Manager (UNIX és Linux rendszerű számítógépek elérése az Operations Manager programban)
Sudo magasabb jogosultsági szintű és SSH kulcsok konfigurálása
A UNIX- és Linux-fiókok szükséges képességei
A UNIX és Linux rendszerű számítógépek eléréséhez szükséges hitelesítő adatok