HP

HP Systems Insight Manager 5.1 用户指南

简体中文
  联网和安全性  |  受信任证书  |  设置信任关系   

设置信任关系

目录
索引
声明
简介
产品概述
入门
发现和标识
用户和授权
目录服务
联网和安全性
关于登录
关于安全任务执行
配置系统链接
配置登录事件
配置浏览器超时选项
更改 HP SIM 缺省 SSL 端口
服务器证书
受信任证书
导入受信任证书
导出受信任证书
删除受信任证书
需要受信任证书
首次接受受信任证书
设置信任关系
监视系统、群集和事件
存储集成
通过任务进行管理
扩展管理的工具
合作伙伴应用程序
报告
管理系统和事件
故障排除
参考信息
打印版本
词汇表
使用帮助
 受管系统上的配置
 设置运行 HP System Management Homepage 的受管服务器
 设置运行 管理 HTTP 服务器 的受管服务器
 禁止浏览器警告消息

下列部分详细说明如何在 HP Systems Insight Manager (HP SIM) CMS 和受管系统之间设置信任关系。

受管系统上的配置

为了使单次登录安全任务执行 (STE) 正常工作,受管系统必须运行支持的代理并配置为信任 HP SIM 服务器。信任模式是在 HP System Management Homepage 中配置的。下列信任模式是可用的:

Trust By CertificateTrust by Certificate 模式将 System Management Homepage 设置为仅接受来自具有受信任证书的 HP SIM 服务器的配置更改。此模式要求提交的服务器通过数字签名和证书提供身份验证信息。此模式是最可靠的安全措施,因为它会在允许访问之前验证数字签名。HP 建议使用此选项。

如果不希望允许 HP SIM 进行任何远程配置更改,请保持选中 Trust by Certificate,并将受信任系统列表留空。

Trust By NameTrust By Name 模式将 System Management Homepage 设置为仅接受来自具有在 Trust By Name 字段中指定的 HP SIM 名称的服务器的某些配置更改。Trust By Name 选项很容易配置,并会阻止非恶意访问。例如,如果您的安全网络中有两个独立的管理员组,分别位于两个独立的部门,则可以使用此选项。这样会防止一个组将软件安装到错误的系统。此选项仅验证提交的 HP SIM 服务器名称,而不验证数字签名。

Trust AllTrust All 模式将 System Management Homepage 设置为接受来自任何系统的配置更改。例如,如果您的网络是安全的,并且网络中的所有成员都是可信任的,则可以使用 Trust All 选项。

对于 Trust By Certificate,可以在最初部署支持工具期间安装来自 HP SIM 系统的证书。有关详细信息,请访问版本控制 - 初始 ProLiant 支持工具安装

设置运行 HP System Management Homepage 的受管服务器

  1. 在 Web 浏览器中,通过 https://managed-server:2381 导航到受管服务器。将出现 System Management Homepage

  2. 登录到 System Management Homepage

  3. 选择 SettingsSystem Management HomepageSecurity

  4. 单击 [Trust Mode]。此时将出现 Trust Mode 页。

  5. 选择 Trust by Certificate 来要求提供受信任证书。

  6. 单击 [Trust Certificate] 访问受信任的管理服务器证书。

  7. 单击 [Save Configuration] 保存信任模式,或单击 [Reset Values] 取消所有更改。

  8. 单击浏览器的 [Back] 按钮。

  9. 在 [Add Certificate From Server] 旁边的文本框中,输入包含要添加的证书的 HP SIM 服务器的名称。

  10. 单击 [Add Certificate From Server]。在证书信息被添加到列表中之前,系统会显示该信息以提供验证。

    注释:由于这是通过 HTTP 的非安全请求,因此恶意方可能截取该请求并用伪造证书替换以响应该请求。获取 HP SIM 证书的更安全方法在“导入 HP SIM 证书”部分中说明。

  11. 验证证书信息,如果要将它添加到受信任证书列表中,请单击 [Add Certificate to Trust List]。

    注释:如果要在群集上设置受信任证书,请参阅故障排除 - 群集以了解详细信息。

导入 HP SIM 证书

  1. 将 HP SIM 服务器证书从 HP SIM 服务器导出到一个文件中。有关详细信息,请访问服务器证书 - 导出服务器证书

  2. 将证书文件放置在受管系统的文件系统可访问的文件位置中。

  3. 浏览到受管系统,然后使用记事本打开在步骤 1 中创建的 HP SIM 服务器证书。

  4. 突出显示文件的整个内容,包括 Begin CertificateEnd Certificate 行。将突出显示的证书文件内容复制到剪贴板。

  5. 返回到受管系统浏览器,然后选择 HP SIM Certificate Data 框。

  6. 将证书文件内容粘贴到此框中,然后单击 [Add Cert]。将出现一个顶部有三个链接的确认窗口。

  7. 单击 Options,然后向下滚动到 Trusted Certificates 区域。将出现一个名为 Trusted Certificates: 的列表,其中包含刚添加的 HP SIM 证书的服务器名称以及两个链接:View CertificateRemove Certificate

设置运行 管理 HTTP 服务器 的受管服务器

导入 HP SIM 证书

  1. 将 HP SIM 服务器证书从 HP SIM 服务器导出到一个文件中。有关详细信息,请访问服务器证书 - 导出服务器证书

  2. 将证书文件放置在受管系统的文件系统可访问的文件位置中。

  3. 浏览到受管系统,然后使用记事本打开在步骤 1 中创建的 HP SIM 服务器证书。

  4. 突出显示文件的整个内容,包括 Begin CertificateEnd Certificate 行。将突出显示的证书文件内容复制到剪贴板。

  5. 返回到受管系统浏览器,然后选择 HP SIM Certificate Data 框。

  6. 将证书文件的内容粘贴到此框中,然后单击框下面的 [Add Cert]。将出现一个顶部有三个链接的确认窗口。

  7. 单击 Options,然后向下滚动到 Trusted Certificates 区域。将出现一个名为 Trusted Certificates: 的列表,其中包含刚添加的 HP SIM 证书的服务器名称以及两个链接:View CertificateRemove Certificate

申请 HP SIM 证书

在相应字段中输入 HP SIM 服务器名称,然后单击对应的 [Get Cert] 按钮。受管系统将直接向 HP SIM 服务器发出 HTTP 请求以获取其证书。

注释:由于这是通过 HTTP 的非安全请求,因此恶意方可能截取该请求并用伪造证书替换以响应该请求。有关获取 HP SIM 证书的更安全方法在“导入 HP SIM 证书”中详细说明。

管理员控制面板上的配置

要在管理员控制面板 1.20 或更高版本中启用单次登录支持,请参阅管理员控制面板文档。

HP StorageWorks Command View EVA 上的配置

要在 HP StorageWorks Command View EVA 6.0 或更高版本中启用单次登录支持,请参阅 HP StorageWorks Command View EVA 文档。

HP SIM 上的配置

系统标识

必须对任何受管系统至少运行一次系统标识任务,HP SIM 才能知道它支持单次登录和安全任务执行,还是这些功能不起作用。

受信任系统的证书

如果在受信任系统证书页上启用了需要(选择选项安全性证书受信任证书),请将表示您希望 HP SIM 服务器信任的受管系统的证书导入到 HP SIM 的受信任系统证书列表中。对于受管设备的证书,可以使用其证书或(如果适用)证书颁发机构 (CA) 用来签署系统证书的证书。

如果在受信任证书页上禁用需要,则不使用受信任系统证书列表,因此可以省略此部分。

将系统证书导入到 HP SIM 受信任系统证书列表中之前,请以可分辨编码规则 (DER) 或 Base64 编码格式将证书导出到文件中。为了获取系统证书,可以使用下列方法:

  • 对于运行您有权访问其文件系统的 Windows 的系统,将文件 c:\compaq\wbem\cert.pem 中的证书以 Base64 编码格式复制到 HP SIM 可访问的某个位置或者直接访问它(如果 HP SIM 已经可以访问它)。

  • 浏览到系统时导出系统证书。从浏览器菜单中选择文件属性。单击[证书]。单击详细信息标签,然后单击[复制到文件]。将证书导出为 Base64 编码的 X.509 文件。

要获取 CA 证书,请与 CA 联系,或参阅证书服务器软件附带的文档。要将受管系统证书导入到 HP SIM 受信任系统证书列表中,请执行下列步骤:

  1. 选择选项安全性证书受信任证书,然后单击 [导入]。此时将出现导入受信任系统证书区域。

  2. 证书文件名字段的旁边,单击 [浏览]。

    将出现选择文件对话框。

  3. 导航到要导入的证书的位置,然后选择文件名。单击 [打开]。

    将导入证书。

注释:如果要在群集上设置受信任证书,请参阅故障排除 - 群集以了解详细信息。

禁止浏览器警告消息

要在浏览到 HP SIM 的受管系统时禁止有关不受信任的证书的浏览器警告消息,请将证书导入到浏览器中。

  1. 打开 Internet Explorer,然后浏览到 https://managed_server:2381 上的受管服务器或 https://sim_server:50000 上的 HP SIM。

  2. 在 Internet Explorer 的安全警报上,单击 [查看证书]。

  3. 查看证书后,单击 [安装证书]。

  4. 单击 [下一步]。

  5. 单击 [将所有的证书放入下列存储]。

  6. 单击 [浏览]。

  7. 选择受信任根证书颁发机构,然后单击 [确定]。

  8. 单击 [下一步]。

  9. 单击 [完成]。

  10. 单击 [确定]。

相关步骤

 服务器证书 - 创建证书签名请求
 服务器证书 - 提交证书签名请求
 服务器证书 - 导入 CA 签名证书
 服务器证书 - 导出服务器证书
 入门 - 设置受管系统

相关主题

 联网和安全性 - 服务器证书
 联网和安全性 - 受信任证书
 HP Systems Insight Manager 5.1 用户指南 - 联网和安全性
 复制代理设置 - 创建复制代理设置任务
 扩展管理的工具 - 安装 OpenSSH
 管理系统和事件 - 管理 SSH 密钥