HP Systems Insight Manager Benutzerhandbuch
Seite 114
Importieren Sie die resultierende Datei (im Allgemeinen eine PKCS#10-Antwort) auf die
einzelnen verwalteten Systeme und das Systems Insight Manager System.
Zur Maximierung der Sicherheit ist es wichtig, dass Sie keinen dieser Schritte über ein Netzwerk
ausführen, sofern die gesamte Datenübertragung nicht bereits durch einen anderen
Mechanismus geschützt wird.
Somit sollten Sie bei Insight Management Agents einen Wechseldatenträger (z. B. USB-Stick,
Diskette) direkt mit zum verwalteten System nehmen, die PKCS#7-Datei darauf kopieren und
manuell zu einem sicheren System mit Zugriff auf den Zertifikatserver bringen. Die
PKCS#10-Antwortdatei sollte auf die gleiche Weise auf den Wechseldatenträger kopiert und
zum verwalteten System gebracht werden, um sie in die Insight Management Agents zu
importieren.
2.
Nehmen Sie das Stammzertifikat (nur das Zertifikat, nicht den privaten Schlüssel) Ihres
Zertifikatservers, und importieren Sie es in die Systems Insight Manager Liste der
vertrauenswürdigen Zertifikate. Dies ermöglicht es Systems Insight Manager, allen verwalteten
Systemen zu vertrauen, weil sie mit diesem Stammzertifikat signiert wurden.
3.
Nehmen Sie das Zertifikat des Systems Insight Manager Systems, und importieren Sie es in
die Insight Management Agents der einzelnen Systeme. Dadurch können die verwalteten
Systeme dem Systems Insight Manager System vertrauen. Dieses Zertifikat kann mit einer der
Methoden verteilt werden, die zum Verteilen des Systems Insight Manager Zertifikats verfügbar
sind. Allerdings darf die Möglichkeit, das Zertifikat direkt über das Netzwerk vom Systems
Insight Manager System abzurufen, aufgrund eines potenziellen Man-in-the-Middle-Angriffs
nicht verwendet werden.
Wie bei der Option „Moderate“ (Mittel), müssen Sie das SSL-Zertifikat für Systems Insight
Manager jedes Mal neu an die verwalteten Systeme verteilen, wenn ein neues SSL-Zertifikat
für Systems Insight Manager generiert wird.
4.
Nach Abschluss dieser Schritte können Sie die Option „Require Trusted Certificates“
(Vertrauenswürdige Zertifikate erforderlich) in Systems Insight Manager aktivieren. Wählen
Sie Options
→Security (Sicherheit)→Trusted Systems (Vertrauenswürdige Systeme), und klicken
Sie dann auf Trusted Certificates (Vertrauenswürdige Zertifikate). Die Warnhinweise zu dieser
Option machen deutlich, dass verwaltete Systeme, die kein von Ihrem Zertifikatserver signiertes
Zertifikat besitzen, keine sicheren Befehle vom Systems Insight Manager System erhalten,
obwohl ihr Hardwarestatus überwacht wird.
5.
Aktivieren Sie für SSH die Option, über die SSH-Verbindungen nur von angegebenen Systemen
akzeptiert werden. Wählen Sie Options
→Security (Sicherheit)→Trusted Systems
(Vertrauenswürdige Systeme), klicken Sie auf SSH Host Keys (SSH-Host-Schlüssel), und aktivieren
Sie The central management server will accept an SSH connection only if the host key is in list
below (Der zentrale Management-Server akzeptiert eine SSH-Verbindung nur, wenn der
Host-Schlüssel in der unten stehenden Liste enthalten ist). Anschließend müssen Sie die
öffentlichen SSH-Schlüssel der einzelnen verwalteten Systeme manuell in die Liste der Schlüssel
in Systems Insight Manager importieren.
Um dies in älteren Versionen von Systems Insight Manager zu konfigurieren, müssen Sie die
folgende Zeile in der Datei Hmx.properties einfügen oder ändern:
MX_SSH_ADD_UNKNOWN_HOSTS=false
Starten Sie Systems Insight Manager danach neu.
Anschließend müssen Sie die öffentlichen SSH-Schlüssel der einzelnen verwalteten Systeme
manuell in die Liste der Schlüssel in Systems Insight Manager importieren.
Um dies in älteren Versionen von Systems Insight Manager zu konfigurieren, müssen Sie die
folgende Zeile in der Datei Hmx.properties einfügen oder ändern:
MX_SSH_ADD_UNKNOWN_HOSTS=false
Starten Sie Systems Insight Manager danach neu.
114
Überblick über die Systems Insight Manager Sicherheit