Share via

  • Artigo

Configurando codificações SSL

 

Publicado: março de 2016

Aplica-se a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

O System Center 2012 – Operations Manager gerencia corretamente computadores UNIX e Linux sem alterações na configuração de codificação SSL padrão. Para a maioria das organizações, a configuração padrão é aceitável, mas você deve verificar as políticas de segurança da organização para determinar se são necessárias alterações.

Usando a configuração de codificação SSL

O agente do UNIX e Linux do Operations Manager se comunica com o servidor de gerenciamento do Operations Manager aceitando solicitações na porta 1270 e fornecendo informações em resposta a essas solicitações. As solicitações são feitas com o uso do protocolo WS-Management que está sendo executado em uma conexão SSL.

Quando a conexão SSL é estabelecida pela primeira vez para cada solicitação, o protocolo SSL padrão negocia o algoritmo de criptografia, conhecido como uma codificação para a conexão a ser usada. Para o Operations Manager, o servidor de gerenciamento sempre negocia o uso de uma codificação mais forte para que a criptografia forte seja utilizada na conexão de rede entre o servidor de gerenciamento e o computador UNIX ou Linux.

A configuração de codificação SSL padrão em um computador UNIX ou Linux é orientada pelo pacote SSL instalado como parte do sistema operacional. A configuração de codificação SSL geralmente permite conexões com várias codificações, incluindo as mais antigas, menos fortes. Embora o Operations Manager não use essas codificações menos fortes, ter a porta 1270 aberta com a possibilidade de utilizar uma codificação menos forte contradiz a política de segurança de algumas organizações.

Se a configuração de codificação SSL padrão atender à política de segurança da organização, nenhuma ação será necessária.

Se a configuração de codificação SSL padrão for contrária à política de segurança da sua organização, o agente do UNIX e Linux do Operations Manager fornecerá uma opção de configuração para especificar as codificações que o SSL pode aceitar na porta 1270. Essa opção pode ser usada para controlar as codificações e colocar a configuração de SSL em conformidade com as suas políticas. Após o agente do UNIX e Linux Operations Manager ser instalado em cada computador gerenciado, a opção de configuração deve ser definida usando os procedimentos descritos na próxima seção. O Operations Manager não fornece nenhuma forma automática ou interna de aplicar essas configurações; cada organização deve executar a configuração usando um mecanismo interno que melhor funciona para ela.

Definição da opção de configuração sslCipherSuite para o System Center 2012 R2

As codificações do SSL da porta 1270 são controladas por meio da configuração da opção sslciphersuite no arquivo de configuração OMI, o omiserver.conf. O arquivo omiserver.conf está localizado no diretório /etc/opt/microsoft/scx/conf/.

O formato para a opção sslciphersuite nesse arquivo é:

sslciphersuite=<cipher spec>

em que <cipher spec> especifica as codificações que são permitidas, não permitidas e a ordem na qual as codificações permitidas são escolhidas.

O formato de <cipher spec> é o mesmo da opção sslCipherSuite no Apache HTTP Server versão 2.0. Para obter informações detalhadas, consulte SSLCipherSuite Directive (Diretiva SSLCipherSuite) na documentação do Apache. Todas as informações contidas nesse site são fornecidas por seu proprietário ou pelos usuários. A Microsoft não oferece nenhuma garantia expressa, implícita ou estatutária quanto às informações neste site.

Depois de definir a opção de configuração sslCipherSuite, você deve reiniciar o agente do UNIX e Linux para que a alteração tenha efeito. Para reiniciar o agente do UNIX e Linux, execute o seguinte comando localizado no diretório /etc/opt/microsoft/scx/bin/tools.

. setup.sh
scxadmin -restart

Definir a opção de configuração sslCipherSuite para o System Center 2012 SP1 e o System Center 2012

As codificações de SSL para a porta 1270 são controladas pela definição da opção sslCipherSuite com o uso do comando scxcimconfig, instalado como parte do agente do UNIX e Linux do Operations Manager no diretório /etc/opt/microsoft/scx/bin/tools. Para exibir a Ajuda completa, digite o seguinte comando no prompt de comando:

scxcimconfig –-help

Para definir a opção de configuração sslCipherSuite, a sintaxe a seguir mostra um comando típico.

scxcimconfig –s sslCipherSuite='<cipher spec>' –p

onde <cipher spec> especifica as codificações que são permitidas, não permitidas e a ordem na qual as codificações permitidas são escolhidas.

O formato de <cipher spec> é igual ao formato da opção sslCipherSuite no Apache HTTP Server versão 2.0. Para obter informações detalhadas, consulte SSLCipherSuite Directive (Diretiva SSLCipherSuite) na documentação do Apache. Todas as informações contidas nesse site são fornecidas por seu proprietário ou pelos usuários. A Microsoft não oferece nenhuma garantia expressa, implícita ou estatutária quanto às informações neste site.

Depois de definir a opção de configuração sslCipherSuite, você deve reiniciar o agente do UNIX e Linux para que a alteração tenha efeito. Para reiniciar o agente do UNIX e Linux, execute o comando a seguir, também localizado no diretório /etc/opt/microsoft/scx/bin/tools.

scxadmin -restart