Datenverschlüsselung für die Webkonsole und die Berichtsserververbindungen

Wichtig

Diese Version von Operations Manager hat das Supportende erreicht. Sie sollten ein Upgrade auf Operations Manager 2019 durchführen.

Sie können die Operations Manager-Webkonsole und den Berichtsserver für die Verwendung von SSL-Verbindungen (Secure Sockets Layer) konfigurieren, um sicherzustellen, dass sowohl eingehende Anforderungen als auch ausgehende Antworten vor der Übertragung verschlüsselt werden. Operations Manager kann beim Zugriff auf die Webkonsole und beim Ausführen von Berichten vom Berichtsserver in der Betriebskonsole Algorithmen für die sichere Datenverschlüsselung verwenden, die dem Federal Information Processing Standard (FIPS) entsprechen.

Bevor Sie mit der Konfiguration von SSL-Verbindungen für eine der Rollen fortfahren können, müssen separate eindeutige Zertifikate angefordert und generiert werden.

Verschlüsselung für die Webkonsole

Bei der Installation der Webkonsole müssen Sie eine Website für die Verwendung mit der Webkonsole angeben. Der Standardport für den Zugriff auf die Webkonsole mithilfe eines Browsers unter Verwendung von Windows-basierter Authentifizierung ist der gleiche Port wie die Website, die bei der Installation der Webkonsole ausgewählt wurde. Wenn die ausgewählte Website für die Verwendung von Secure Sockets Layer (SSL) konfiguriert wurde, müssen Sie auch „SSL aktivieren“ auswählen.

Sie müssen zudem einen Authentifizierungsmodus für die Verwendung mit der Webkonsole auswählen. Verwenden Sie gemischte Authentifizierung bei Intranetszenarien und Netzwerkauthentifizierung bei Extranetszenarien.

Von der Webkonsole werden zwei Verschlüsselungsalgorithmen verwendet:

  • SHA256
  • HMACSHA256

Diese Algorithmen sind zur Erfüllung von Kompatibilitätsstandards möglicherweise nicht ausreichend. Zum Beispiel erfüllen sie möglicherweise nicht den Federal Information Processing Standard (FIPS). Sie müssen diese Namen in den entsprechenden Konfigurationsdateien den richtigen Verschlüsselungsalgorithmen zuordnen, um einem Konformitätsstandard zu entsprechen.

Verschlüsselung für den Berichtsserver

SQL Server Reporting Services (einheitlicher Modus) verwenden den HTTP-SSL-Dienst, um verschlüsselte Verbindungen mit einem Berichtsserver herzustellen. Wenn Sie eine CER-Zertifikatdatei im lokalen Zertifikatspeicher des Berichtsservercomputers installiert haben, können Sie das Zertifikat an eine Reporting Services-URL-Reservierung binden, um Berichtsserververbindungen über einen verschlüsselten Kanal zu unterstützen.

Da die Internetinformationsdienste (Internet Information Services, IIS) ebenfalls HTTP-SSL verwenden, treten erhebliche Interoperabilitätsprobleme auf, die Sie berücksichtigen müssen, wenn Sie IIS und SQL Reporting Services zur Unterstützung des Operations Manager-Berichtsservers auf dem gleichen Computer ausführen möchten. Lesen Sie den Abschnitt „Interoperabilitätsprobleme mit IIS“ im Artikel Konfigurieren von SSL-Verbindungen auf einem Berichtsserver im einheitlichen Modus, um Informationen zum Beheben dieser Probleme zu erhalten.

Konfigurieren Sie die SSL-Verschlüsselung für SQL Server Reporting Services im einheitlichen Modus, bevor Sie den Operations Manager-Berichtsserver für die Verwendung von SSL konfigurieren. Informationen hierzu finden Sie ebenfalls unter Konfigurieren von SSL-Verbindungen auf einem Berichtsserver im einheitlichen Modus.

Kompatibilität mit FIPS

Nachdem Sie diese beiden Rollen installiert haben, müssen Sie verschiedene Konfigurationsdateien manuell bearbeiten, um diesen Algorithmus auf dem IIS-Webserver, auf dem die Webkonsole gehostet wird, und auf dem SQL Server-Berichtsserver zu aktivieren.

Um die Konformität mit FIPS für System Center Operations Manager zu aktivieren, muss die zugrunde liegende Infrastruktur (Serverbetriebssystem, Active Directory usw.) ebenfalls mit FIPS konform sein.

Folgende Schritte sind erforderlich, um FIPS für Ihren Webkonsolenserver zu konfigurieren.

  • Installieren Sie die Microsoft.EnterpriseManagement.Cryptography.dll.
  • Bearbeiten Sie verschiedene Instanzen der Datei machine.config.
  • Bearbeiten Sie die Datei WebHost\web.config.
  • Bearbeiten Sie die Datei MonitoringView\web.config.

Sie benötigen das Tool für den globalen Assemblycache: gacutil.exe. Dieses Hilfsprogramm gehört zur im Windows Software Development Kit enthaltenen Installationskomponente Windows .NET Framework SDK. Weitere Informationen finden Sie unter Gacutil.exe (Global Assembly Cache-Tool).

Folgende Schritte sind erforderlich, um FIPS für Ihren Berichtsserver zu konfigurieren:

  • Ändern Sie die Konfiguration der Web.config-Dateien für ReportServer und ReportManager.

Zertifikate

Sie können die Operations Manager-Webkonsole und den Berichtsserver für die Verwendung von SSL-Verbindungen (Secure Sockets Layer) konfigurieren, um sicherzustellen, dass sowohl eingehende Anforderungen als auch ausgehende Antworten vor der Übertragung verschlüsselt werden.

Bevor Sie mit der Konfiguration von SSL-Verbindungen für eine der Rollen fortfahren können, müssen separate Zertifikate angefordert und generiert werden. Sie benötigen ein eindeutiges Zertifikat für die SQL Server-Instanz, auf der die Berichtsdienste gehostet werden, und ein weiteres für den Server, auf dem die Webkonsole gehostet wird.

Nächste Schritte