設定 Web 主控台的驗證

發行項
02/10/2024

重要

此版本的 Operations Manager 已終止支援。建議您升級至 Operations Manager 2022。

設定 SSL 加密

在 Internet Information Services (IIS) 7.0 和更新版的 Web 伺服器上安裝 Operations Manager Web 主控台伺服器之後，必須採取下列步驟以設定安全通訊端層 (SSL) 加密。執行這些步驟之前，您應該先檢閱在 IIS 7 中設定安全套接字層，並設定 IIS 為裝載 Web 控制台的網頁伺服器啟用 SSL。

注意

建立憑證時，您必須在 [一般名稱] 欄位中提供主機的完整網域名稱 (FQDN) 和網域名稱，以比對使用者為存取 Web 主控台會在網頁瀏覽器中輸入的地址。

重要

如果您在嘗試存取 Web 控制台時遇到驗證提示的問題，請檢查 FQDN () URL 的完整功能變數名稱是否包含在 控制台 ->Internet Options -Security Tab ->>Local Intranet Sites -Sites ->>Advanced 中。

請確定已在管理伺服器上安裝並設定 SSL 憑證。
在安裝 Operations Manager Web 控制台的 IIS 網站中新增 HTTPs 系結。
完成上述步驟之後，重設裝載 Operations Manager Web 主控台的網站。

注意

只有在您使用 Web 控制台的 HTTPs 系結時，才能在安裝程式中啟用 SSL 複選框。如需詳細資訊，請參閱如何在 IIS 7 上設定 SSL 7 \(英文\)。

使用純文字編輯器開啟 <PATH>:\Program Files\Microsoft System Center 2016\Operations Manager\WebConsole\WebHost 中的 web.config。

在 <services> 根項目中，修改位於 <!– Logon Service –> 項目中的下列內容︰

<endpoint address=”” binding=”customBinding” contract=”Microsoft.EnterpriseManagement.Presentation.Security.Services.ILogonService” bindingConfiguration=”DefaultHttpsBinding”/>

在 <services> 根項目中，修改位於 <!– Data Access service –> 項目中的下列內容︰

 <endpoint address=”” binding=”customBinding” contract=”Microsoft.EnterpriseManagement.Presentation.DataAccess.Server.IDataAccessService” bindingConfiguration=”DefaultHttpsBinding”/>

完成後，請儲存並關閉檔案。
選取 [開始]，選取 [ 執行]，輸入 regedit，然後選取 [ 確定]。
在 [HKEY_LOCAL_MACHINE\Software\Microsoft\System Center Operations Manager\12\Setup\WebConsole\] 下，按兩下值 HTTP_GET_ENABLED ，並將其值變更為 false。按兩下值 BINDING_CONFIGURATION，將其值變更為 DefaultHttpsBinding。
完成上述步驟之後，重設裝載 Operations Manager Web 主控台的網站。

設定符合 FIPS 規範

請遵循 Operations Manager Web 主控台伺服器元件的這些步驟，使用符合美國聯邦資訊處理標準 (FIPS) 的演算法。若要確保 System Center - Operations Manager 的 FIPS 合規性，您必須使用也符合 FIPS 規範的底層基礎結構 (伺服器 OS 與 Active Directory 等)。

安裝密碼編譯 DLL

在裝載 Web 主控台的系統上，使用 [以系統管理員身分執行] 選項開啟命令提示字元視窗。
將目錄切換到安裝媒體所在的 SupportTools 目錄，然後將目錄切換到 AMD64。
執行下列 gacutil命令：gacutil.exe –i Microsoft.EnterpriseManagement.Cryptography.dll。

編輯 machine.config 檔案

使用純文本編輯器在 %WinDir%\Microsoft.NET\Framework\v2.0.50727\CONFIG\中開啟 machine.config 檔案。

如果根元素內 <Configuration> 沒有下列內容，請新增，如下所示：

 <mscorlib>
  <cryptographySettings>
    <cryptoNameMapping>
        <cryptoClasses>
            <cryptoClass
SHA256CSP="System.Security.Cryptography.SHA256CryptoServiceProvider, System.Core, Version=3.5.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"/>
            <cryptoClass HMACSHA256CSP
="Microsoft.EnterpriseManagement.Cryptography.HMACSHA256, Microsoft.EnterpriseManagement.Cryptography, Version=7.0.5000.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/>
        </cryptoClasses>
        <nameEntry name="SHA256" class="SHA256CSP"/>
        <nameEntry name="HMACSHA256" class="HMACSHA256CSP"/>  
    </cryptoNameMapping>
  </cryptographySettings>
 </mscorlib>

完成後，請儲存並關閉檔案。

針對下列檔案重複先前的步驟︰

%WinDir%\Microsoft.NET\Framework\v4.0.30319\Config\machine.config
%WinDir%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config

若要編輯 WebHost 資料夾中的 web.config 檔案

使用純文字編輯器開啟 <Path>:\Program Files\System Center 2016\Operations Manager\WebConsole\WebHost\web.config 中的 web.config 檔案。
在 <加密> 專案中，如果不存在，請新增下列元素： <symmetricAlgorithm iv="SHA256"/>
在 <connection autoSignIn="true" autoSignOutInterval="30"> 元素的標籤中 <session> ，如果不存在，請新增下列屬性： tokenAlgorithm=“SHA256”
```
<connection autoSignIn="True" autoSignOutInterval="30">  
<session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">  
```
將下列項目的值由 true 修改為 false︰<serviceMetadata httpGetEnabled="false"/>

將下列兩個項目的值由 DefaultHttpBinding 變更為 DefaultHttpsBinding：

<endpoint address="" binding="customBinding" contract="Microsoft.EnterpriseManagement.Presentation.Security.Services.ILogonService" bindingConfiguration="DefaultHttpsBinding"/>
<endpoint address="" binding="customBinding" contract="Microsoft.EnterpriseManagement.Presentation.DataAccess.Server.IDataAccessService" bindingConfiguration="DefaultHttpsBinding"/>

儲存並關閉檔案。

若要編輯 MonitoringView 資料夾中的 web.config 檔案：

使用純文字編輯器開啟 <PATH>:\Program Files\System Center 2012\Operations Manager\WebConsole\MonitoringView\web.config 中的 web.config 檔案。
在元素中 <encryption> ，如果不存在，請新增下列元素： <symmetricAlgorithm iv="SHA256"/>。
<connection>在元素的元素中<connection autoSignIn="true" autoSignOutInterval="30">，於標記中<session>，如果不存在，請新增下列屬性：tokenAlgorithm=“SHA256”
```
<connection autoSignIn="True" autoSignOutInterval="30">
<session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">
```

在元素中 <system.web> ，如果元素不存在，請新增下列元素：

<machineKey validationKey="AutoGenerate,IsolateApps" decryptionKey="AutoGenerate,IsolateApps" validation="3DES" decryption="3DES"/>

儲存並關閉檔案。

注意

如果可用來登入網站，Web 控制台預設會使用 Windows 驗證。 Web 主控台的預設工作階段逾時間隔為 1 天，而這是最大值。

若要編輯該值，請使用純文字編輯器開啟 <PATH>:\Program Files\Microsoft System Center\Operations Manager\WebConsole\Dashboard 中的 web.config。
在根元素中 <appSettings> ，以分鐘為單位修改下列會話逾時值。
```
   <add key="SessionTimeout" value="1440"/>
```
完成上述步驟之後，重設裝載 Operations Manager Web 主控台的網站。

後續步驟

若要設定報表伺服器的 FIPS 相容，請參閱設定報表伺服器的驗證

設定 Web 主控台的驗證

設定 SSL 加密

設定符合 FIPS 規範

安裝密碼編譯 DLL

編輯 machine.config 檔案

若要編輯 WebHost 資料夾中的 web.config 檔案

若要編輯 MonitoringView 資料夾中的 web.config 檔案：

後續步驟

意見反應

意見反應

其他資源

設定 Web 主控台的驗證

設定 SSL 加密

設定符合 FIPS 規範

安裝密碼編譯 DLL

編輯 machine.config 檔案

若要編輯 WebHost 資料夾中的 web.config 檔案

若要編輯 MonitoringView 資料夾中的 web.config 檔案：

設定登入會話

後續步驟

意見反應

意見反應

其他資源