Configurazione della crittografia SSL
Pubblicato: marzo 2016
Si applica a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
System Center 2012 – Operations Manager gestisce correttamente i computer UNIX e Linux senza modificare la configurazione di crittografia predefinita di Secure Sockets Layer (SSL). Per la maggior parte delle organizzazioni, la configurazione predefinita è accettabile. Tuttavia è necessario verificare i criteri di sicurezza dell'organizzazione per stabilire se sono necessarie modifiche.
Utilizzo della configurazione di crittografia SSL
L'agente Operations Manager UNIX e Linux comunica con il server di gestione di Operations Manager accettando le richieste sulla porta 1270 e fornendo informazioni in risposta alle richieste. Le richieste vengono eseguite utilizzando il protocollo WS-Management in esecuzione in una connessione SSL.
Quando viene stabilita per la prima volta una connessione SSL per ogni richiesta, il protocollo SSL standard negozia l'algoritmo di crittografia, noto come una crittografia per la connessione da utilizzare. Per Operations Manager, il server di gestione negozia sempre di utilizzare una crittografia a sicurezza elevata in modo che venga utilizzata una crittografia avanzata nella connessione di rete tra il server di gestione e il computer UNIX o Linux.
La configurazione predefinita di crittografia SSL nel computer UNIX o Linux è controllata dal pacchetto SSL installato come parte del sistema operativo. La configurazione di crittografia SSL consente in genere le connessioni con una serie di crittografie, incluse crittografie precedenti meno avanzate. Sebbene Operations Manager non utilizzi queste crittografie meno avanzate, tenendo aperta la porta 1270 con la possibilità di utilizzare una crittografia meno avanzata vengono contraddetti i criteri di sicurezza di alcune organizzazioni.
Se la configurazione di crittografia SSL predefinita soddisfa i criteri di sicurezza dell'organizzazione, non è necessaria alcuna azione.
Se la configurazione di crittografia SSL predefinita contraddice i criteri di sicurezza dell'organizzazione, l'agente UNIX e Linux di Operations Manager fornisce un'opzione di configurazione per specificare le crittografie che SSL può accettare nella porta 1270. È possibile utilizzare questa opzione per controllare le crittografie e rendere la configurazione SSL conforme ai criteri. Dopo aver installato l’agente UNIX e Linux di Operations Manager in ciascun computer gestito, l'opzione di configurazione deve essere impostata tramite le procedure descritte nella sezione successiva.Operations Manager non offre una modalità automatica o predefinita per applicare queste configurazioni. Ogni organizzazione deve eseguire la configurazione usando il meccanismo esterno più adatto.
Impostazione dell'opzione di configurazione sslCipherSuite per System Center 2012 R2
Le crittografie SSL per la porta 1270 sono controllate tramite l'impostazione dell'opzione sslciphersuite nel file di configurazione OMI omiserver.conf. Il file omiserver.conf è situato nella directory /etc/opt/microsoft/scx/conf/.
Il formato per l'opzione sslciphersuite in questo file è:
sslciphersuite=<cipher spec>
in cui <cipher spec> specifica le crittografie consentite, non consentite e l'ordine in cui vengono scelte le crittografie consentite.
Il formato per <cipher spec> è analogo al formato per l'opzione sslCipherSuite in Apache HTTP Server versione 2.0. Per ulteriori informazioni, vedere SSLCipherSuite Directive (Direttiva SSLCipherSuite) nella documentazione di Apache. Tutte le informazioni su questo sito sono fornite dal proprietario o dagli utenti del sito Web. Microsoft non offre alcuna garanzia, espressa, implicita o legale, per le informazioni fornite in questo sito Web.
Dopo aver impostato l'opzione di configurazione sslCipherSuite, riavviare l'agente UNIX e Linux per rendere effettive le modifiche. Per riavviare l'agente UNIX e Linux, eseguire il seguente comando, che si trova nella directory /etc/opt/microsoft/scx/bin/tools.
. setup.sh
scxadmin -restart
Impostazione dell'opzione di configurazione sslCipherSuite per System Center 2012 SP1 e System Center 2012
Le crittografie SSL per la porta 1270 vengono controllate impostando l'opzione sslCipherSuite con il comando scxcimconfig installato come parte dell'agente UNIX o Linux di Operations Manager nella directory /etc/opt/microsoft/scx/bin/tools. Per visualizzare la Guida completa, al prompt dei comandi digitare il comando riportato di seguito.
scxcimconfig –-help
Per impostare l'opzione di configurazione sslCipherSuite, nella sintassi riportata di seguito viene illustrato un comando tipico.
scxcimconfig –s sslCipherSuite='<cipher spec>' –p
in cui <cipher spec> specifica le crittografie consentite, non consentite e l'ordine in cui vengono scelte le crittografie consentite.
Il formato per <cipher spec> è analogo al formato per l'opzione sslCipherSuite in Apache HTTP Server versione 2.0. Per ulteriori informazioni, vedere SSLCipherSuite Directive (Direttiva SSLCipherSuite) nella documentazione di Apache. Tutte le informazioni su questo sito sono fornite dal proprietario o dagli utenti del sito Web. Microsoft non offre alcuna garanzia, espressa, implicita o legale, per le informazioni fornite in questo sito Web.
Dopo aver impostato l'opzione di configurazione sslCipherSuite, riavviare l'agente UNIX e Linux per rendere effettive le modifiche. Per riavviare l'agente UNIX e Linux, eseguire il comando seguente che si trova nella directory /etc/opt/microsoft/scx/bin/tools.
scxadmin -restart
Vedere anche
Come impostare le credenziali per accedere al computer di Linux e UNIX
Accessing UNIX and Linux Computers in Operations Manager (Accesso a computer UNIX e Linux in Operations Manager)
Come configurare sudo l'elevazione e chiavi SSH
Funzionalità richieste per account UNIX e Linux
Credenziali necessarie per l'accesso a computer UNIX e Linux