Configurar Cifras SSL
Publicado: março de 2016
Aplica-se a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
O System Center 2012 – Operations Manager gere corretamente computadores UNIX e Linux sem alterações na configuração de cifra da Secure Sockets Layer (SSL) predefinida. Para a maioria das organizações, a configuração predefinida é aceitável, mas deve verificar as políticas de segurança da sua organização para determinar se são necessárias alterações.
Utilizar a Configuração de Cifra SSL
O agente UNIX e Linux do Operations Manager comunica com o servidor de gestão do Operations Manager, aceitando pedidos na porta 1270 e fornecendo informações em resposta a esses pedidos. Os pedidos são efetuados utilizando o protocolo WS-Management que está a ser executado numa ligação SSL.
Quando a ligação SSL for estabelecida pela primeira vez para cada pedido, o protocolo SSL padrão negoceia o algoritmo de encriptação, denominado cifra, para ser utilizado pela ligação. Para o Operations Manager, o servidor de gestão negoceia sempre a utilização de uma cifra muito forte de modo a utilizar uma encriptação forte na ligação de rede entre o servidor de gestão e o computador UNIX ou Linux.
A configuração de cifra SSL predefinida num computador UNIX ou Linux é regida pelo pacote SSL que é instalado como parte do sistema operativo. Normalmente, a configuração de cifra SSL permite ligações com várias cifras, incluindo cifras mais antigas menos fortes. Apesar do Operations Manager não utilizar estas cifras menos fortes, o fato da porta 1270 ficar aberta com a possibilidade de utilizar uma cifra menos forte contradiz a política de segurança de algumas organizações.
Se a configuração de cifra SSL predefinida cumprir a política de segurança da sua organização, não é necessária nenhuma ação.
Se a configuração de cifra SSL predefinida não cumprir a política de segurança da sua organização, o agente UNIX e Linux do Operations Manager fornece uma opção de configuração para especificar as cifras que a SSL pode aceitar na porta 1270. Esta opção pode ser utilizada para controlar as cifras e fazer que a configuração da SSL fique em conformidade com as suas políticas de segurança. Após o agente UNIX e Linux do Operations Manager estar instalado em cada computador gerido, a opção de configuração tem de ser definida utilizando os procedimentos descritos na secção seguinte. O Operations Manager não inclui nenhuma forma automática de aplicar estas configurações; cada organização tem de executar a configuração, utilizando um mecanismo externo adequado.
Definir a Opção de Configuração sslCipherSuite para o System Center 2012 R2
As cifras SSL para a porta 1270 são controladas mediante a definição da opção sslciphersuite, no ficheiro de configuração OMI, omiserver.conf. O ficheiro omiserver.conf está localizado no diretório /etc/opt/microsoft/scx/conf/.
O formato para a opção sslciphersuite neste ficheiro é o seguinte:
sslciphersuite=<cipher spec>
onde <cipher spec> especifica as cifras que são permitidas, não permitidas e a ordem em que as cifras permitidas são escolhidas.
O formato da <cipher spec> é igual ao formato para a opção sslCipherSuite no Apache HTTP Server versão 2.0. Para obter informações detalhadas, consulte SSLCipherSuite Directive na documentação do Apache. Todas as informações sobre este site são fornecidas pelo proprietário ou pelos utilizadores do Web site. A Microsoft não oferece nenhuma garantia, expressa, implícita ou estatutária, em relação às informações neste Web site.
Após a definição da opção de configuração sslCipherSuite, é necessário reiniciar o agente UNIX e Linux para que a alteração surta efeito. Para reiniciar o agente UNIX e Linux, execute o seguinte comando, que está localizado no diretório /etc/opt/microsoft/scx/bin/tools.
. setup.sh
scxadmin -restart
Definir a Opção de Configuração sslCipherSuite para o System Center 2012 SP1 e o System Center 2012
As cifras SSL para a porta 1270 são controladas pela definição da opção sslCipherSuite, utilizando o comando scxcimconfig, que está instalado como parte do agente UNIX e Linux do Operations Manager no diretório /etc/opt/microsoft/scx/bin/tools. Para ver a Ajuda completa, na linha de comandos, escreva o comando indicado a seguir.
scxcimconfig –-help
Para definir a opção de configuração sslCipherSuite, a sintaxe seguinte mostra um comando normal.
scxcimconfig –s sslCipherSuite='<cipher spec>' –p
onde <cipher spec> especifica as cifras que são permitidas, não permitidas e a ordem em que as cifras permitidas são escolhidas.
O formato da <cipher spec> é igual ao formato para a opção sslCipherSuite no Apache HTTP Server versão 2.0. Para obter informações detalhadas, consulte SSLCipherSuite Directive na documentação do Apache. Todas as informações sobre este site são fornecidas pelo proprietário ou pelos utilizadores do Web site. A Microsoft não oferece nenhuma garantia, expressa, implícita ou estatutária, em relação às informações neste Web site.
Após a definição da opção de configuração sslCipherSuite, é necessário reiniciar o agente UNIX e Linux para que a alteração surta efeito. Para reiniciar o agente UNIX e Linux, execute o seguinte comando, também localizado no diretório /etc/opt/microsoft/scx/bin/tools.
scxadmin -restart