HP Systems Insight Manager Benutzerhandbuch
Seite 124
erstellt. Diese Datei muss anschließend zum Zertifikatserver gebracht und signiert werden.
Importieren Sie die resultierende Datei (im Allgemeinen eine PKCS#10-Antwort) auf die
einzelnen verwalteten Systeme und das HP SIM System.
Zur Maximierung der Sicherheit ist es wichtig, dass Sie keinen dieser Schritte über ein Netzwerk
ausführen, sofern die gesamte Datenübertragung nicht bereits durch einen anderen
Mechanismus geschützt wird.
Somit sollten Sie bei Insight Management Agent einen Wechseldatenträger (z. B. USB-Stick,
Diskette) direkt mit zum verwalteten System nehmen, die PKCS#7-Datei darauf kopieren und
manuell zu einem sicheren System mit Zugriff auf den Zertifikatserver bringen. Die
PKCS#10-Antwortdatei sollte auf die gleiche Weise auf den Wechseldatenträger kopiert und
zum verwalteten System gebracht werden, um sie in die Insight Management Agent zu
importieren.
2.
Nehmen Sie das Stammzertifikat (nur das Zertifikat, nicht den privaten Schlüssel) Ihres
Zertifikatservers, und importieren Sie es in die HP SIM Liste der vertrauenswürdigen Zertifikate.
Dies ermöglicht es HP SIM, allen verwalteten Systemen zu vertrauen, weil sie mit diesem
Stammzertifikat signiert wurden.
3.
Nehmen Sie das Zertifikat des HP SIM Systems, und importieren Sie es in die Insight
Management Agent der einzelnen Systeme. Dadurch können die verwalteten Systeme dem
HP SIM System vertrauen. Dieses Zertifikat kann mit einer der Methoden verteilt werden, die
zum Verteilen des HP SIM Zertifikats verfügbar sind. Allerdings darf die Möglichkeit, das
Zertifikat direkt über das Netzwerk vom HP SIM System abzurufen, aufgrund eines potenziellen
Man-in-the-Middle-Angriffs nicht verwendet werden.
Wie bei der Option „Moderate“ (Mittel), müssen Sie das SSL-Zertifikat für HP SIM jedes Mal
neu an die verwalteten Systeme verteilen, wenn ein neues SSL-Zertifikat für HP SIM generiert
wird.
4.
Nach Abschluss dieser Schritte können Sie die Option „Require Trusted Certificates“
(Vertrauenswürdige Zertifikate erforderlich) in HP SIM aktivieren. Wählen Sie Options
→Security
(Sicherheit)
→Trusted Systems (Vertrauenswürdige Systeme), und klicken Sie dann auf Trusted
Certificates (Vertrauenswürdige Zertifikate). Die Warnhinweise zu dieser Option machen
deutlich, dass verwaltete Systeme, die kein von Ihrem Zertifikatserver signiertes Zertifikat
besitzen, keine sicheren Befehle vom HP SIM System erhalten, obwohl ihr Hardwarestatus
überwacht wird.
5.
Aktivieren Sie für SSH die Option, über die SSH-Verbindungen nur von angegebenen Systemen
akzeptiert werden. Wählen Sie Options
→Security (Sicherheit)→Trusted Systems
(Vertrauenswürdige Systeme), klicken Sie auf SSH Host Keys (SSH-Host-Schlüssel), und aktivieren
Sie The central management server will accept an SSH connection only if the host key is in list
below (Der zentrale Management-Server akzeptiert eine SSH-Verbindung nur, wenn der
Host-Schlüssel in der unten stehenden Liste enthalten ist). Anschließend müssen Sie die
öffentlichen SSH-Schlüssel der einzelnen verwalteten Systeme manuell in die Liste der Schlüssel
in HP SIM importieren.
Um dies in älteren Versionen von HP SIM zu konfigurieren, müssen Sie die folgende Zeile in
der Datei Hmx.properties einfügen oder ändern:
MX_SSH_ADD_UNKNOWN_HOSTS=false
Starten Sie HP SIM danach neu.
Anschließend müssen Sie die öffentlichen SSH-Schlüssel der einzelnen verwalteten Systeme
manuell in die Liste der Schlüssel in HP SIM importieren.
124
Überblick über die HP SIM Sicherheit