共用方式為

  • 發行項

設定 SSL 加密

 

發佈時間: 2016年3月

適用於: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

System Center 2012 – Operations Manager 可正確管理 UNIX 和 Linux 電腦,而不會變更預設安全通訊端層 (SSL) 密碼設定。 雖然大部分的組織都可接受預設設定,但您還是應該檢查貴組織的安全性原則,判斷是否需進行變更。

使用 SSL 密碼設定

Operations Manager UNIX 和 Linux 代理程式與 Operations Manager 管理伺服器通訊的方式是透過連接埠 1270 接受要求,並提供資訊來回應這些要求。 提出要求時使用的是在 SSL 連線上執行的 WS-Management 通訊協定。

第一次為每一項要求建立 SSL 連線時,標準 SSL 通訊協定會交涉連線所要使用的加密演算法 (稱為密碼)。 在 Operations Manager 中,管理伺服器一律都會交涉使用高強度密碼,以便在管理伺服器與 UNIX 或 Linux 電腦間的網路連線上使用增強式加密。

UNIX 或 Linux 電腦上的預設 SSL 密碼設定是由連同作業系統一併安裝的 SSL 套件所管理。 SSL 密碼設定通常允許使用各種密碼進行連線,包括強度較低的舊密碼。 雖然 Operations Manager 不會使用這些強度較低的密碼,但是開放連接埠 1270 可以使用較低強度的密碼,卻與某些組織的安全性原則牴觸。

如果預設 SSL 密碼設定符合貴組織的安全性原則,則不需要採取任何動作。

如果預設 SSL 密碼設定與貴組織的安全性原則牴觸,Operations Manager UNIX 和 Linux 代理程式便會提供設定選項,以指定 SSL 可透過連接埠 1270 接受的密碼。 這個選項可用來控制密碼,並讓 SSL 設定變成與您的原則一致。 在每部受管理電腦上安裝 Operations Manager UNIX 和 Linux 代理程式之後,必須使用下一節所描述的程序針對設定選項進行設定。Operations Manager 並未提供套用這些設定的任何自動或內建方法;每個組織都必須使用本身最適用的外部機制來執行設定。

設定 System Center 2012 R2 的 sslCipherSuite 設定選項

連接埠 1270 的 SSL 密碼是藉由在 OMI 設定檔 (omiserver.conf) 中設定 sslciphersuite 選項來控制。omiserver.conf 檔位於 /etc/opt/microsoft/scx/conf/ 目錄中。

此檔案中 sslciphersuite 選項的格式如下:

sslciphersuite=<cipher spec>

其中 <cipher spec> 指定允許和不允許的密碼,以及選擇允許的密碼的順序。

<cipher spec> 的格式與 Apache HTTP Server 2.0 版中 sslCipherSuite 選項的格式相同。 若需詳細資訊,請參閱 Apache 文件中的 SSLCipherSuite Directive。 這個網站上的所有資訊全都由網站擁有者或使用者提供。 Microsoft 對於此網站上的資訊不提供任何瑕疵擔保,不論其為明示、暗示或法定擔保。

在設定 sslCipherSuite 設定選項之後,您必須重新啟動 UNIX 和 Linux 代理程式,變更才會生效。 若要重新啟動 UNIX 和 Linux 代理程式,請執行下列命令 (位於 /etc/opt/microsoft/scx/bin/tools 目錄)。

. setup.sh
scxadmin -restart

設定 System Center 2012 SP1 和 System Center 2012 的 sslCipherSuite 設定選項

連接埠 1270 的 SSL 密碼可利用 sslCipherSuite 命令 (隨著 scxcimconfig UNIX 和 Linux 代理程式一併安裝在 Operations Manager 目錄中),透過設定 /etc/opt/microsoft/scx/bin/tools 選項加以控制。 若要檢視完整說明,請在命令提示中輸入下列命令。

scxcimconfig –-help

下列語法顯示用來設定 sslCipherSuite 設定選項的一般命令。

scxcimconfig –s sslCipherSuite='<cipher spec>' –p

其中 <cipher spec> 指定允許和不允許的密碼,以及選擇允許的密碼的順序。

<cipher spec> 的格式與 Apache HTTP Server 2.0 版中 sslCipherSuite 選項的格式相同。 若需詳細資訊,請參閱 Apache 文件中的 SSLCipherSuite Directive。 這個網站上的所有資訊全都由網站擁有者或使用者提供。 Microsoft 對於此網站上的資訊不提供任何瑕疵擔保,不論其為明示、暗示或法定擔保。

在設定 sslCipherSuite 設定選項之後,您必須重新啟動 UNIX 和 Linux 代理程式,變更才會生效。 若要重新啟動 UNIX 和 Linux 代理程式,請執行下列命令 (同樣位於 /etc/opt/microsoft/scx/bin/tools 目錄)。

scxadmin -restart