Strong (hoch) – HP Systems Insight Manager Benutzerhandbuch
Seite 131
Dieses Zertifikat kann auf viele verschiedene Arten verteilt werden, z. B.:
•
Verwenden Sie die Option Set Trust Relationship (Vertrauensstellung einrichten) von Configure
or Repair Agents (Agents konfigurieren oder reparieren) in HP SIM, um das HP SIM-Zertifikat
auf den verwalteten Systemen zu implementieren. Abhängig vom verwalteten System werden
möglicherweise SSL- oder Windows Netzwerkverbindungen verwendet, um Dateien zu kopieren
und die verwalteten Systeme zu konfigurieren.
•
Verwenden Sie die webbasierte Schnittstelle in einzelnen Insight Management Agent zur
Angabe des HP SIM Systems, dem vertraut werden soll. Dies veranlasst die Agents, das digitale
Zertifikat sofort vom HP SIM System abzurufen, ermöglicht Ihnen die Prüfung des Zertifikats
und richtet die Vertrauensstellung anschließend ein. Obwohl diese Option ein gewisses
Sicherheitsrisiko darstellt – so wäre es z. B. möglich, das HP SIM System beim Abrufen des
Zertifikats zu manipulieren und damit eine nicht erwartete Vertrauensstellung einzurichten –,
ist sie für die meisten Netzwerke jedoch ziemlich sicher.
•
Importieren Sie das HP SIM Zertifikat bei der Erstinstallation von Insight Management Agents.
Dies kann manuell während einer beaufsichtigten Installation oder über eine Konfigurationsdatei
bei einer unbeaufsichtigten Installation erfolgen. Diese Methode ist sicherer, weil nur wenig
Gelegenheit für den oben beschriebenen Spoofing-Angriff besteht.
•
Wenn Sie die Insight Management Agent bereits implementiert haben, können Sie die Datei
mit den Sicherheitseinstellungen und das HP SIM Zertifikat über die Betriebssystemsicherheit
direkt auf die verwalteten Systeme verteilen.
WICHTIG:
Wenn Sie die Option Trust by certificate (Vertrauen nach Zertifikat) verwenden, muss
das SSL-Zertifikat von HP SIM erneut verteilt werden, wenn ein neues SSL-Zertifikat für HP SIM
generiert wird. Auf verwalteten Systemen verwendetes SSH arbeitet in der Regel mit einem Modus,
der „Trust by certificate“ insofern ähnlich ist, als er den öffentlichen SSH-Schlüssel vom CMS
benötigt. Beachten Sie, dass der öffentliche SSH-Schlüssel nicht mit dem SSL-Zertifikat identisch ist.
Der Befehl mxagentconfig wird auf dem CMS verwendet, um den Schlüssel auf das verwaltete
System zu kopieren. Dies muss für jedes Benutzerkonto erfolgen, das auf dem verwalteten System
verwendet werden soll, da das Root- oder Administratorkonto standardmäßig verwendet wird.
Sie müssen den öffentlichen SSH-Schlüssel des HP SIM erneut verteilen, wenn das SSH-Schlüsselpaar
neu generiert wird.
Strong (Hoch)
Mit der Option für eine hohe Sicherheit können Sie alle Sicherheitsfunktionen nutzen. Diese Option
bietet die höchste Sicherheitsstufe innerhalb des Sicherheits-Frameworks von HP SIM. Allerdings
müssen Sie bei den Serveroperationen zusätzliche Verfahrensschritte ausführen. Diese Option wird
außerdem durch die Verwendung ihrer eigenen PKI vereinfacht, die eine Zertifizierungsstelle und
einen Zertifikatserver beinhaltet.
Prozedur 30 Festlegen einer hohen Sicherheitsstufe
1.
Generieren Sie Zertifikate für jedes verwaltete System und das HP SIM System unter
Verwendung Ihres Zertifikatservers. Generieren Sie dazu zunächst eine
Zertifikatssignieranforderung der verschiedenen Systeme. Damit wird eine PKCS#7-Datei
erstellt. Diese Datei muss anschließend zum Zertifikatserver gebracht und signiert werden.
Importieren Sie die resultierende Datei (im Allgemeinen eine PKCS#10-Antwort) auf die
einzelnen verwalteten Systeme und das HP SIM System.
Zur Maximierung der Sicherheit ist es wichtig, dass Sie keinen dieser Schritte über ein Netzwerk
ausführen, sofern die gesamte Datenübertragung nicht bereits durch einen anderen
Mechanismus geschützt wird.
Somit sollten Sie bei Insight Management Agent einen Wechseldatenträger (z. B. USB-Stick,
Diskette) direkt mit zum verwalteten System nehmen, die PKCS#7-Datei darauf kopieren und
manuell zu einem sicheren System mit Zugriff auf den Zertifikatserver bringen. Die
Vorgehensweise: Sperrung und Benutzerfreundlichkeit auf Windows-Systemen
131