Configuración de cifrado SSLConfiguring SSL ciphers

Se aplica a: System Center 2016 Operations ManagerApplies To: System Center 2016 - Operations Manager

System Center 2016 - Operations Manager administra correctamente los equipos UNIX y Linux sin realizar cambios en la configuración predeterminada del algoritmo de cifrado SSL (capa de sockets seguros).System Center 2016 - Operations Manager correctly manages UNIX and Linux computers without changes to the default Secure Sockets Layer (SSL) cipher configuration. En la mayoría de las organizaciones, la configuración predeterminada es aceptable, pero debe comprobar las directivas de seguridad de su organización para determinar si se requieren cambios.For most organizations, the default configuration is acceptable, but you should check your organization's security policies to determine whether changes are required.

Uso de la configuración de cifrado SSLUsing the SSL cipher configuration

El agente de UNIX y Linux de Operations Manager se comunica con el servidor de administración de Operations Manager al aceptar solicitudes en el puerto 1270 y suministrar información para responder a esas solicitudes.The Operations Manager UNIX and Linux agent communicates with the Operations Manager management server by accepting requests on port 1270 and supplying information in response to those requests. Las solicitudes se realizan mediante el protocolo WS-Management que se ejecuta en una conexión SSL.Requests are made by using the WS-Management protocol that is running on an SSL connection.

Cuando la conexión SSL se establece para cada solicitud, el protocolo SSL estándar negocia el algoritmo de cifrado, que se conoce como el cifrado para la conexión.When the SSL connection is first established for each request, the standard SSL protocol negotiates the encryption algorithm, known as a cipher for the connection to use. Para Operations Manager, el servidor de administración siempre negocia el uso de un cifrado muy seguro para la conexión de red entre el servidor de administración y el equipo UNIX o Linux.For Operations Manager, the management server always negotiates to use a high strength cipher so that strong encryption is used on the network connection between the management server and the UNIX or Linux computer.

El paquete SSL que se instala como parte del sistema operativo controla la configuración de cifrado SSL predeterminada en un equipo UNIX o Linux.The default SSL cipher configuration on UNIX or Linux computer is governed by the SSL package that is installed as part of the operating system. Por lo general, la configuración del cifrado SSL permite conexiones de varios tipos de cifrado, incluidos cifrados más antiguos y menos seguros.The SSL cipher configuration typically allows connections with a variety of ciphers, including older ciphers of lower strength. Si bien Operations Manager no usa estos cifrados menos seguros, tener abierto el puerto 1270 con la posibilidad de usar un cifrado poco seguro contradice las directivas de seguridad de algunas organizaciones.While Operations Manager does not use these lower strength ciphers, having port 1270 open with the possibility of using a lower strength cipher contradicts the security policy of some organizations.

Si la configuración predeterminada del algoritmo de cifrado SSL cumple la directiva de seguridad de su organización, no es necesario realizar ninguna acción.If the default SSL cipher configuration meets your organization's security policy, no action is needed.

Si la configuración predeterminada del algoritmo de cifrado SSL no cumple la directiva de seguridad de su organización, el agente de UNIX y Linux de Operations Manager ofrece una opción de configuración para especificar los cifrados que SSL acepta en el puerto 1270.If the default SSL cipher configuration contradicts your organization's security policy, the Operations Manager UNIX and Linux agent provides a configuration option to specify the ciphers that SSL can accept on port 1270. Puede utilizar esta opción para controlar los cifrados y para hacer que la configuración de SSL se ajuste a sus directivas.This option can be used to control the ciphers and bring the SSL configuration into conformance with your policies. Después de instalar el agente de UNIX y Linux de Operations Manager en todos los equipos administrados, se debe establecer la opción de configuración mediante los procedimientos que se describen en la sección siguiente.After the Operations Manager UNIX and Linux agent is installed on each managed computer, the configuration option must be set by using the procedures described in the next section. Operations Manager no proporciona una forma automática o integrada de aplicar estas configuraciones; cada organización debe realizar la configuración con el mecanismo externo que mejor funcione.Operations Manager does not provide any automatic or built-in way to apply these configurations; each organization must perform the configuration by using an external mechanism that works best for it.

Establecimiento de la opción de configuración sslCipherSuite para System Center 2016Setting the sslCipherSuite configuration option for System Center 2016

Los cifrados SSL para el puerto 1270 se controlan mediante la configuración de la opción sslciphersuite del archivo de configuración OMI, omiserver.conf.The SSL ciphers for port 1270 are controlled by setting the sslciphersuite option in the OMI configuration file, omiserver.conf. El archivo omiserver.conf se encuentra en el directorio /etc/opt/omi/conf/.The omiserver.conf file is located in the directory /etc/opt/omi/conf/.

El formato de la opción sslciphersuite de este archivo es:The format for the sslciphersuite option in this file is:

sslciphersuite=<cipher spec>  

especifica los cifrados permitidos y no permitidos, y el orden en que se eligen los cifrados permitidos.where specifies the ciphers that are allowed, disallowed, and the order in which allowed ciphers are chosen.

El formato de es el mismo que el formato de la opción sslCipherSuite en el servidor Apache HTTP versión 2.0.The format for is the same as the format for the sslCipherSuite option in the Apache HTTP Server version 2.0. Para obtener información detallada, consulte SSLCipherSuite Directive (Directiva de SSLCipherSuite) en la documentación de Apache.For detailed information, see SSLCipherSuite Directive in the Apache documentation. El propietario o los usuarios de este sitio proporcionan toda la información del sitio.All information on this site is provided by the owner or the users of the website. Microsoft no otorga garantías expresas, implícitas ni legales con respecto a la información de este sitio webMicrosoft makes no warranties, express, implied or statutory, as to the information at this website.

Después de establecer la opción de configuración sslCipherSuite , debe reiniciar el agente de UNIX y Linux para que el cambio surta efecto.After setting the sslCipherSuite configuration option, you must restart the UNIX and Linux agent for the change to take effect. Para reiniciar el agente de UNIX y Linux, ejecute el siguiente comando, que se encuentra en el directorio /etc/opt/microsoft/scx/bin/tools .To restart the UNIX and Linux agent, run the following command, which is located in the /etc/opt/microsoft/scx/bin/tools directory.

. setup.sh  
scxadmin -restart  

Habilitar o deshabilitar el protocolo SSLv3Enabling or Disabling the SSLv3 Protocol

Operations Manager se comunica con los agentes de UNIX y Linux a través de HTTPS, mediante el cifrado SSL o TLS.Operations Manager communicates with UNIX and Linux agents over HTTPS, using either TLS or SSL encryption. El proceso de establecimiento de comunicación SSL negocia el cifrado más potente que esté disponible mutuamente en el agente y en el servidor de administración.The SSL handshaking process negotiates the strongest encryption that is mutually available on the agent and the management server. Puede que quiera prohibir SSLv3 de forma que un agente que no pueda negociar el cifrado TLS no recurra a SSLv3.You may wish to prohibit SSLv3 so that an agent that cannot negotiate TLS encryption does not fall back to SSLv3.

Para System Center 2016 – Operations Manager, omiserver.conf se ubica en: /etc/opt/omi/conf/omiserver.confFor System Center 2016 – Operations Manager, omiserver.conf is located at: /etc/opt/omi/conf/omiserver.conf

Para deshabilitar SSLv3To disable SSLv3

Modifique omiserver.conf, establezca la línea NoSSLv3 en: NoSSLv3=trueModify omiserver.conf, set the NoSSLv3 line to be: NoSSLv3=true

Para habilitar SSLv3To enable SSLv3

Modifique omiserver.conf, establezca la línea NoSSLv3 en: NoSSLv3=falseModify omiserver.conf, set the NoSSLv3 line to be: NoSSLv3=false

Pasos siguientesNext steps