Strong (hoch) – HP Systems Insight Manager Benutzerhandbuch
Seite 121
Sicherheitsrisiko darstellt – so wäre es z. B. möglich, das HP SIM System beim Abrufen des
Zertifikats zu manipulieren und damit eine nicht erwartete Vertrauensstellung einzurichten –,
ist sie für die meisten Netzwerke jedoch ziemlich sicher.
•
Importieren Sie das HP SIM Zertifikat bei der Erstinstallation von Insight Management Agent.
Dies kann manuell während einer beaufsichtigten Installation oder über eine Konfigurationsdatei
bei einer unbeaufsichtigten Installation erfolgen. Diese Methode ist sicherer, weil nur wenig
Gelegenheit für den oben beschriebenen Spoofing-Angriff besteht.
•
Wenn Sie die Insight Management Agent bereits implementiert haben, können Sie die Datei
mit den Sicherheitseinstellungen und das HP SIM Zertifikat über die Betriebssystemsicherheit
direkt auf die verwalteten Systeme verteilen.
WICHTIG:
Wenn Sie die Option Trust by certificate (Vertrauen nach Zertifikat) verwenden, muss
das SSL-Zertifikat von HP SIM erneut verteilt werden, wenn ein neues SSL-Zertifikat für HP SIM
generiert wird. Auf verwalteten Systemen verwendetes SSH arbeitet in der Regel mit einem Modus,
der „Trust by certificate“ insofern ähnlich ist, als er den öffentlichen SSH-Schlüssel vom CMS
benötigt. Beachten Sie, dass der öffentliche SSH-Schlüssel nicht mit dem SSL-Zertifikat identisch ist.
Der Befehl mxagentconfig wird auf dem CMS verwendet, um den Schlüssel auf das verwaltete
System zu kopieren. Dies muss für jedes Benutzerkonto erfolgen, das auf dem verwalteten System
verwendet werden soll, da das Root- oder Administratorkonto standardmäßig verwendet wird.
Sie müssen den öffentlichen SSH-Schlüssel des HP SIM erneut verteilen, wenn das SSH-Schlüsselpaar
neu generiert wird.
Strong (Hoch)
Mit der Option für eine hohe Sicherheit können Sie alle Sicherheitsfunktionen nutzen. Diese Option
bietet die höchste Sicherheitsstufe innerhalb des Sicherheits-Frameworks von HP SIM. Allerdings
müssen Sie bei den Serveroperationen zusätzliche Verfahrensschritte ausführen. Diese Option wird
außerdem durch die Verwendung ihrer eigenen PKI vereinfacht, die eine Zertifizierungsstelle und
einen Zertifikatserver beinhaltet.
Prozedur 24 Festlegen einer hohen Sicherheitsstufe
1.
Generieren Sie Zertifikate für jedes verwaltete System und das HP SIM System unter
Verwendung Ihres Zertifikatservers. Generieren Sie dazu zunächst eine
Zertifikatssignieranforderung der verschiedenen Systeme. Damit wird eine PKCS#7-Datei
erstellt. Diese Datei muss anschließend zum Zertifikatserver gebracht und signiert werden.
Importieren Sie die resultierende Datei (im Allgemeinen eine PKCS#10-Antwort) auf die
einzelnen verwalteten Systeme und das HP SIM System.
Zur Maximierung der Sicherheit ist es wichtig, dass Sie keinen dieser Schritte über ein Netzwerk
ausführen, sofern die gesamte Datenübertragung nicht bereits durch einen anderen
Mechanismus geschützt wird.
Somit sollten Sie bei Insight Management Agent einen Wechseldatenträger (z. B. USB-Stick,
Diskette) direkt mit zum verwalteten System nehmen, die PKCS#7-Datei darauf kopieren und
manuell zu einem sicheren System mit Zugriff auf den Zertifikatserver bringen. Die
PKCS#10-Antwortdatei sollte auf die gleiche Weise auf den Wechseldatenträger kopiert und
zum verwalteten System gebracht werden, um sie in die Insight Management Agent zu
importieren.
2.
Nehmen Sie das Stammzertifikat (nur das Zertifikat, nicht den privaten Schlüssel) Ihres
Zertifikatservers, und importieren Sie es in die HP SIM Liste der vertrauenswürdigen Zertifikate.
Dies ermöglicht es HP SIM, allen verwalteten Systemen zu vertrauen, weil sie mit diesem
Stammzertifikat signiert wurden.
3.
Nehmen Sie das Zertifikat des HP SIM Systems, und importieren Sie es in die Insight
Management Agent der einzelnen Systeme. Dadurch können die verwalteten Systeme dem
HP SIM System vertrauen. Dieses Zertifikat kann mit einer der Methoden verteilt werden, die
Vorgehensweise: Sperrung und Benutzerfreundlichkeit auf Windows Systemen
121