Table of contents
TOC
Zwiń spis treści
Rozwiń spis treści

Konfigurowanie mechanizmów szyfrowania SSL

Matt Goedtel|Ostatnia aktualizacja: 01.12.2016
|
1 Współautor

Dotyczy: System Center 2016 — Operations Manager

Program System Center 2016 — Operations Manager poprawnie zarządza komputerami z systemami UNIX i Linux, bez potrzeby wprowadzania zmian w domyślnej konfiguracji szyfrowania Secure Sockets Layer (SSL). W przypadku większości organizacji można zaakceptować konfigurację domyślną, wskazane jest jednak sprawdzenie zasad zabezpieczeń organizacji w celu ustalenia, czy zmiany są wymagane.

Używanie konfiguracji szyfrowania SSL

Agent systemów UNIX i Linux programu Operations Manager komunikuje się z serwerem zarządzania programu Operations Manager, akceptując żądania na porcie 1270 i przekazując informacje w odpowiedzi na te żądania. Żądania są tworzone z zastosowaniem protokołu usługi WS-Management, który jest uruchomiony w ramach połączenia SSL.

Gdy dla każdego zlecenia po raz pierwszy nawiązywane jest połączenie SSL, standardowy protokół SSL negocjuje algorytm szyfrowania (zwany szyfrem) na potrzeby tego połączenia. W przypadku programu Operations Manager serwer zarządzania zawsze negocjuje użycie bardzo silnego szyfru, aby w ramach połączenia sieciowego między serwerem zarządzania a komputerem z systemem UNIX lub Linux było stosowane silne szyfrowanie.

Domyślna konfiguracja szyfrowania SSL na komputerze z systemem UNIX lub Linux zależy od pakietu SSL zainstalowanego w ramach systemu operacyjnego. Konfiguracja szyfrowania SSL zezwala zazwyczaj na połączenia korzystające z różnych szyfrów, w tym starszych szyfrów o mniejszej sile. Program Operations Manager nie używa tych szyfrów o mniejszej sile, dlatego otwarcie portu 1270 z możliwością użycia szyfru o mniejszej sile jest sprzeczne z zasadami zabezpieczeń niektórych organizacji.

Jeśli domyślna konfiguracja szyfrowania SSL spełnia zasady zabezpieczeń organizacji, nie jest konieczne podejmowanie żadnych działań.

Jeśli natomiast domyślna konfiguracja szyfrowania SSL narusza zasady zabezpieczeń organizacji, agent systemów UNIX i Linux programu Operations Manager zapewnia opcję konfiguracji pozwalającą określić szyfry, jakie protokół SSL może akceptować na porcie 1270. Tej opcji można użyć do kontroli szyfrów i zapewnienia zgodności konfiguracji SSL z zasadami. Po zainstalowaniu agenta programu Operations Manager w systemach UNIX i Linux na każdym zarządzanym komputerze należy ustawić opcję konfiguracji, używając procedur opisanych w następnej sekcji. Program Operations Manager nie zapewnia żadnego automatycznego ani wbudowanego sposobu stosowania tych konfiguracji. Każda organizacja musi przeprowadzić konfigurację za pomocą mechanizmu zewnętrznego, który jest najlepiej do niej dostosowany.

Ustawianie opcji konfiguracji sslCipherSuite dla programu System Center 2016

Szyfry SSL dla portu 1270 są kontrolowane za pomocą ustawienia opcji sslciphersuite w pliku konfiguracji OMI omiserver.conf. Plik omiserver.conf znajduje się w katalogu /etc/opt/omi/conf/.

Format opcji sslciphersuite w tym pliku jest następujący:

sslciphersuite=<cipher spec>  

gdzie określa szyfry dozwolone, niedozwolone oraz kolejność wybierania dozwolonych szyfrów.

Format parametru jest taki sam jak format opcji sslCipherSuite w programie Apache HTTP Server w wersji 2.0. Aby uzyskać szczegółowe informacje, zobacz SSLCipherSuite Directive w dokumentacji oprogramowania Apache. Wszystkie informacje w tej witrynie sieci Web są udostępniane przez jej właściciela lub użytkowników. Firma Microsoft nie udziela żadnych gwarancji (w sposób wyraźny, dorozumiany lub ustawowy) odnośnie do informacji dostępnych w tej witrynie sieci Web.

Po ustawieniu opcji konfiguracji sslCipherSuite należy ponownie uruchomić agenta systemów UNIX i Linux, aby ta zmiana została uwzględniona. Aby ponownie uruchomić agenta systemów UNIX i Linux, uruchom poniższe polecenie znajdujące się w katalogu /etc/opt/microsoft/scx/bin/tools.

. setup.sh  
scxadmin -restart  

Włączanie lub wyłączanie protokołu SSLv3

Program Operations Manager komunikuje się z agentami systemów UNIX i Linux przy użyciu protokołu HTTPS za pomocą szyfrowania SSL lub TLS. Proces uzgadniania protokołu SSL negocjuje najmocniejsze szyfrowanie, które jest wzajemnie dostępne w agencie i na serwerze zarządzania. Możesz zabronić używania protokołu SSLv3, aby agent, który nie może negocjować szyfrowania TLS, nie wrócił do protokołu SSLv3.

W programie System Center 2016 — Operations Manager plik omiserver.conf znajduje się w: /etc/opt/omi/conf/omiserver.conf

Aby wyłączyć protokół SSLv3

Zmodyfikuj plik omiserver.conf, ustawiając wiersz NoSSLv3 tak, aby miał wartość: NoSSLv3=true

Aby włączyć protokół SSLv3

Zmodyfikuj plik omiserver.conf, ustawiając wiersz NoSSLv3 tak, aby miał wartość: NoSSLv3=false

Następne kroki

© 2017 Microsoft