Strong (hoch), Festlegen einer hohen sicherheitsstufe – HP Systems Insight Manager Benutzerhandbuch
Seite 113
wurden, dass sie dem Systems Insight Manager System vertrauen, akzeptieren sie nur von diesem
speziellen System sichere Befehle.
Dieses Zertifikat kann auf viele verschiedene Arten verteilt werden, z. B.:
•
Verwenden Sie die Option Set Trust Relationship (Vertrauensstellung einrichten) von Configure
or Repair Agents in Systems Insight Manager, um das Systems Insight Manager Zertifikat auf
den verwalteten Systemen zu implementieren. Abhängig vom verwalteten System werden
möglicherweise SSL- oder Windows Netzwerkverbindungen verwendet, um Dateien zu kopieren
und die verwalteten Systeme zu konfigurieren.
•
Verwenden Sie die webbasierte Schnittstelle in einzelnen Insight Management Agents zur
Angabe des Systems Insight Manager Systems, dem vertraut werden soll. Dies veranlasst die
Agents, das digitale Zertifikat sofort vom Systems Insight Manager System abzurufen, ermöglicht
Ihnen die Prüfung des Zertifikats und richtet die Vertrauensstellung anschließend ein. Obwohl
diese Option ein gewisses Sicherheitsrisiko darstellt – so wäre es z. B. möglich, das Systems
Insight Manager System beim Abrufen des Zertifikats zu manipulieren und damit eine nicht
erwartete Vertrauensstellung einzurichten –, ist sie für die meisten Netzwerke jedoch ziemlich
sicher.
•
Importieren Sie das Systems Insight Manager Zertifikat bei der Erstinstallation der Insight
Management Agents. Dies kann manuell während einer beaufsichtigten Installation oder über
eine Konfigurationsdatei bei einer unbeaufsichtigten Installation erfolgen. Diese Methode ist
sicherer, weil nur wenig Gelegenheit für den oben beschriebenen Spoofing-Angriff besteht.
•
Wenn Sie die Insight Management Agents bereits implementiert haben, können Sie die Datei
mit den Sicherheitseinstellungen und das Systems Insight Manager Zertifikat über die
Betriebssystemsicherheit direkt auf die verwalteten Systeme verteilen.
WICHTIG:
Wenn Sie die Option Trust by certificate (Vertrauen nach Zertifikat) verwenden, muss
das SSL-Zertifikat von Systems Insight Manager erneut verteilt werden, wenn ein neues SSL-Zertifikat
für Systems Insight Manager generiert wird. Auf verwalteten Systemen verwendetes SSH arbeitet
in der Regel mit einem Modus, der „Trust by certificate“ insofern ähnlich ist, als er den öffentlichen
SSH-Schlüssel vom CMS benötigt. Beachten Sie, dass der öffentliche SSH-Schlüssel nicht mit dem
SSL-Zertifikat identisch ist. Der Befehl mxagentconfig wird auf dem CMS verwendet, um den
Schlüssel auf das verwaltete System zu kopieren. Dies muss für jedes Benutzerkonto erfolgen, das
auf dem verwalteten System verwendet werden soll, da das Root- oder Administratorkonto
standardmäßig verwendet wird.
Sie müssen den öffentlichen SSH-Schlüssel des Systems Insight Manager erneut verteilen, wenn
das SSH-Schlüsselpaar neu generiert wird.
Strong (Hoch)
Mit der Option für eine hohe Sicherheit können Sie alle Sicherheitsfunktionen nutzen. Diese Option
bietet die höchste Sicherheitsstufe innerhalb des Sicherheits-Frameworks von Systems Insight
Manager. Allerdings müssen Sie bei den Serveroperationen zusätzliche Verfahrensschritte ausführen.
Diese Option wird außerdem durch die Verwendung ihrer eigenen PKI vereinfacht, die eine
Zertifizierungsstelle und einen Zertifikatserver beinhaltet.
Prozedur 23 Festlegen einer hohen Sicherheitsstufe
1.
Generieren Sie Zertifikate für jedes verwaltete System und das Systems Insight Manager System
unter Verwendung Ihres Zertifikatservers. Generieren Sie dazu zunächst eine
Zertifikatssignieranforderung der verschiedenen Systeme. Damit wird eine PKCS#7-Datei
erstellt. Diese Datei muss anschließend zum Zertifikatserver gebracht und signiert werden.
Vorgehensweise: Sperrung und Benutzerfreundlichkeit auf Windows Systemen
113