Konfigurieren von SSL-Verschlüsselungen

Wichtig

Diese Version von Operations Manager hat das Supportende erreicht. Sie sollten ein Upgrade auf Operations Manager 2019 durchführen.

System Center – Operations Manager ermöglicht eine korrekte Verwaltung von UNIX- und Linux-Computern, ohne dass Änderungen an der standardmäßigen SSL-Verschlüsselungskonfiguration (Secure Sockets Layer) vorgenommen werden müssen. Für die meisten Organisationen ist die Standardkonfiguration akzeptabel, Sie sollten aber die Sicherheitsrichtlinien Ihrer Organisation überprüfen, um festzustellen, ob Änderungen erforderlich sind.

Verwenden der SSL-Verschlüsselungskonfiguration

Der UNIX- und Linux-Agent von Operations Manager kommuniziert mit dem Operations Manager-Verwaltungsserver, indem Anforderungen an Port 1270 akzeptiert und Informationen als Antwort auf diese Anforderungen bereitgestellt werden. Anforderungen werden mit dem WS-Management-Protokoll erstellt, das auf einer SSL-Verbindung ausgeführt wird.

Wenn die SSL-Verbindung zum ersten Mal für jede Anforderung hergestellt wird, handelt das standardmäßige SSL-Protokoll den Verschlüsselungsalgorithmus (der als Chiffre bezeichnet wird) für die zu verwendende Verbindung aus. Für Operations Manager handelt der Verwaltungsserver immer die Verwendung einer hohen Chiffrierstärke aus, damit eine starke Verschlüsselung für die Netzwerkverbindung zwischen dem Verwaltungsserver und dem UNIX- oder Linux-Computer verwendet wird.

Die standardmäßige SSL-Chiffrekonfiguration auf UNIX- oder Linux-Computern wird durch das SSL-Paket gesteuert, das als Teil des Betriebssystems installiert ist. Die SSL-Verschlüsselungskonfiguration ermöglicht üblicherweise Verbindungen mit einer Vielzahl von Verschlüsselungen, einschließlich älterer Verschlüsselungsverfahren mit geringerer Stärke. In Operations Manager werden diese Verschlüsselungsverfahren mit geringerer Stärke nicht verwendet, und das Öffnen von Port 1270 mit der Möglichkeit zur Verwendung eines Verschlüsselungsverfahrens mit geringerer Stärke widerspricht der Sicherheitsrichtlinie einiger Organisationen.

Wenn die standardmäßige SSL-Verschlüsselungskonfiguration die Sicherheitsrichtlinie Ihrer Organisation erfüllt, müssen Sie keine Maßnahmen ergreifen.

Wenn die standardmäßige SSL-Verschlüsselungskonfiguration der Sicherheitsrichtlinie Ihrer Organisation widerspricht, bietet der UNIX- und Linux-Agent von Operations Manager eine Konfigurationsoption zur Angabe der Verschlüsselungsverfahren, die SSL an Port 1270 akzeptieren kann. Mithilfe dieser Option können Sie die Chiffren steuern und die Übereinstimmung der SSL-Konfiguration mit Ihren Richtlinien herstellen. Nachdem der UNIX- und Linux-Agent von Operations Manager auf jedem verwalteten Computer installiert wurde, muss die Konfigurationsoption anhand der im nächsten Abschnitt beschriebenen Verfahren festgelegt werden. Operations Manager bietet keine automatische oder integrierte Methode zum Anwenden dieser Konfigurationen. Jede Organisation muss die Konfiguration mit dem jeweils am besten geeigneten externen Mechanismus ausführen.

Festlegen der Konfigurationsoption „sslCipherSuite“

Die SSL-Chiffren für Port 1270 werden durch Festlegen der Option sslciphersuite in der OMI-Konfigurationsdatei omiserver.confgesteuert. Die Datei omiserver.conf befindet sich im Verzeichnis .

Das Format für die Option „sslciphersuite“ in dieser Datei lautet folgendermaßen:

sslciphersuite=<cipher spec>  

Dabei werden durch <cipher spec> die zulässigen und die nicht zulässigen Chiffren sowie die Reihenfolge, in der zulässige Chiffren ausgewählt werden, angegeben.

Das Format für ist mit dem Format für die Option sslCipherSuite in Apache HTTP Server, Version 2.0, identisch. Detaillierte Informationen finden Sie unter SSLCipherSuite Directive (SSLCipherSuite-Direktive) in der Apache-Dokumentation. Alle Informationen auf dieser Website werden vom Besitzer oder den Benutzern der Website bereitgestellt. Microsoft übernimmt bezüglich der Informationen auf dieser Website keine Gewährleistungen, weder ausdrücklich noch konkludent oder gesetzlich geregelt.

Nachdem Sie die Konfigurationsoption sslCipherSuite festgelegt haben, müssen Sie den UNIX- und Linux-Agent neu starten, damit die Änderung wirksam wird. Führen Sie für den Neustart des UNIX- und Linux-Agents den nachfolgenden Befehl aus, der sich im Verzeichnis /etc/opt/microsoft/scx/bin/tools befindet.

. setup.sh  
scxadmin -restart  

Aktivieren oder Deaktivieren der TLS-Protokollversionen

Für System Center – Operations Manager befindet sich „omiserver.conf“ hier: /etc/opt/omi/conf/omiserver.conf

Die folgenden Flags müssen festgelegt werden, um die TLS-Protokollversionen zu aktivieren/deaktivieren. Weitere Informationen finden Sie unter Configuring OMI Server (Konfigurieren des OMI Servers).

Eigenschaft Zweck
NoTLSv1_0 TRUE gibt an, dass das TLSv1.0-Protokoll deaktiviert ist.
NoTLSv1_1 Wenn der Wert TRUE ist und auf der Plattform das TLSv1.1-Protokoll verfügbar ist, wird es deaktiviert.
NoTLSv1_2 Wenn der Wert TRUE ist und auf der Plattform das TLSv1.2-Protokoll verfügbar ist, wird es deaktiviert.

Aktivieren oder Deaktivieren des SSLv3-Protokolls

Operations Manager kommuniziert mit UNIX- und Linux-Agents über HTTPS und verwendet hierbei entweder die TLS- oder die SSL-Verschlüsselung. Der SSL-Handshake-Prozess handelt die stärkste Verschlüsselung aus, die jeweils auf dem Agent und dem Verwaltungsserver verfügbar ist. Sie können die Verwendung von SSLv3 untersagen, damit ein Agent, der keine TLS-Verschlüsselung aushandeln kann, nicht auf die Verwendung von SSLv3 ausweicht.

Für System Center – Operations Manager befindet sich „omiserver.conf“ hier: /etc/opt/omi/conf/omiserver.conf

So deaktivieren Sie SSLv3

Ändern Sie „omiserver.conf“, indem Sie die Zeile NoSSLv3 folgendermaßen festlegen:

So aktivieren Sie SSLv3

Ändern Sie „omiserver.conf“, indem Sie die Zeile NoSSLv3 folgendermaßen festlegen:

Deaktivierte SSL-Neuverhandlung in Linux-Agent

Hinweis

Dieses Update gilt für Operations Manager 2019 UR3 und höher.

Bei Operations Manager 2019 UR3 werden SSL-Neuverhandlungen für den Linux-Agent deaktiviert.

SSL-Neuverhandlungen können zu Sicherheitsrisiken in SCOM-Linux-Agent führen. Dies erleichtert es den Remote-Angreifern, einen Denial-of-Service-Angriff zu verursachen, indem in einer einzigen Verbindung viele Neuverhandlungen durchgeführt werden.

Der Linux-Agent verwendet Open Source OpenSSL für SSL-Zwecke.

Die folgenden Versionen werden nur für die Neuverhandlung unterstützt:

  • OpenSSL <= 1.0.2
  • OpenSSL >= 1.1.0h

Bei den OpenSSL Versionen 1.10 — 1.1.0g können Sie die Neuverhandlung nicht deaktivieren, da OpenSSL keine Neuverhandlung unterstützt.

Nächste Schritte