下列部分详细说明如何在 HP Systems Insight Manager (HP SIM) CMS 和受管系统之间设置信任关系。
受管系统上的配置为了使单次登录和安全任务执行 (STE) 正常工作,受管系统必须运行支持的代理并配置为信任 HP SIM 服务器。信任模式是在 HP System Management Homepage 中配置的。下列信任模式是可用的:
Trust By Certificate。Trust by Certificate 模式将 System Management Homepage 设置为仅接受来自具有受信任证书的 HP SIM 服务器的配置更改。此模式要求提交的服务器通过数字签名和证书提供身份验证信息。此模式是最可靠的安全措施,因为它会在允许访问之前验证数字签名。HP 建议使用此选项。
Trust By Name。Trust By Name 模式将 System Management Homepage 设置为仅接受来自具有在 Trust By Name 字段中指定的 HP SIM 名称的服务器的某些配置更改。Trust By Name 选项很容易配置,并会阻止非恶意访问。例如,如果您的安全网络中有两个独立的管理员组,分别位于两个独立的部门,则可以使用此选项。这样会防止一个组将软件安装到错误的系统。此选项仅验证提交的 HP SIM 服务器名称,而不验证数字签名。
Trust All。Trust All 模式将 System Management Homepage 设置为接受来自任何系统的配置更改。例如,如果您的网络是安全的,并且网络中的所有成员都是可信任的,则可以使用 Trust All 选项。
设置运行 HP System Management Homepage 的受管服务器在 Web 浏览器中,通过 https://managed-server:2381 导航到受管服务器。将出现 System Management Homepage。
登录到 System Management Homepage。 选择 Settings System Management Homepage Security。 单击 [Trust Mode]。此时将出现 Trust Mode 页。 选择 Trust by Certificate 来要求提供受信任证书。
单击 [Trust Certificate] 访问受信任的管理服务器证书。
单击 [Save Configuration] 保存信任模式,或单击 [Reset Values] 取消所有更改。
单击浏览器的 [Back] 按钮。
在 [Add Certificate From Server] 旁边的文本框中,输入包含要添加的证书的 HP SIM 服务器的名称。 单击 [Add Certificate From Server]。在证书信息被添加到列表中之前,系统会显示该信息以提供验证。
注释:由于这是通过 HTTP 的非安全请求,因此恶意方可能截取该请求并用伪造证书替换以响应该请求。获取 HP SIM 证书的更安全方法在“导入 HP SIM 证书”部分中说明。 验证证书信息,如果要将它添加到受信任证书列表中,请单击 [Add Certificate to Trust List]。
注释:如果要在群集上设置受信任证书,请参阅故障排除 - 群集以了解详细信息。
导入 HP SIM 证书 |  |
将 HP SIM 服务器证书从 HP SIM 服务器导出到一个文件中。有关详细信息,请访问服务器证书 - 导出服务器证书。 将证书文件放置在受管系统的文件系统可访问的文件位置中。 浏览到受管系统,然后使用记事本打开在步骤 1 中创建的 HP SIM 服务器证书。 突出显示文件的整个内容,包括 Begin Certificate 和 End Certificate 行。将突出显示的证书文件内容复制到剪贴板。 返回到受管系统浏览器,然后选择 HP SIM Certificate Data 框。 将证书文件内容粘贴到此框中,然后单击 [Add Cert]。将出现一个顶部有三个链接的确认窗口。 单击 Options,然后向下滚动到 Trusted Certificates 区域。将出现一个名为 Trusted Certificates: 的列表,其中包含刚添加的 HP SIM 证书的服务器名称以及两个链接:View Certificate 和 Remove Certificate。
设置运行 管理 HTTP 服务器 的受管服务器导入 HP SIM 证书 |  |
将 HP SIM 服务器证书从 HP SIM 服务器导出到一个文件中。有关详细信息,请访问服务器证书 - 导出服务器证书。 将证书文件放置在受管系统的文件系统可访问的文件位置中。 浏览到受管系统,然后使用记事本打开在步骤 1 中创建的 HP SIM 服务器证书。 突出显示文件的整个内容,包括 Begin Certificate 和 End Certificate 行。将突出显示的证书文件内容复制到剪贴板。 返回到受管系统浏览器,然后选择 HP SIM Certificate Data 框。 将证书文件的内容粘贴到此框中,然后单击框下面的 [Add Cert]。将出现一个顶部有三个链接的确认窗口。 单击 Options,然后向下滚动到 Trusted Certificates 区域。将出现一个名为 Trusted Certificates: 的列表,其中包含刚添加的 HP SIM 证书的服务器名称以及两个链接:View Certificate 和 Remove Certificate。
申请 HP SIM 证书 |  |
在相应字段中输入 HP SIM 服务器名称,然后单击对应的 [Get Cert] 按钮。受管系统将直接向 HP SIM 服务器发出 HTTP 请求以获取其证书。
注释:由于这是通过 HTTP 的非安全请求,因此恶意方可能截取该请求并用伪造证书替换以响应该请求。有关获取 HP SIM 证书的更安全方法在“导入 HP SIM 证书”中详细说明。 管理员控制面板上的配置 |  |
要在管理员控制面板 1.20 或更高版本中启用单次登录支持,请参阅管理员控制面板文档。
HP StorageWorks Command View EVA 上的配置 |  |
要在 HP StorageWorks Command View EVA 6.0 或更高版本中启用单次登录支持,请参阅 HP StorageWorks Command View EVA 文档。
HP SIM 上的配置 |  |
系统标识必须对任何受管系统至少运行一次系统标识任务,HP SIM 才能知道它支持单次登录和安全任务执行,还是这些功能不起作用。 受信任系统的证书如果在受信任系统证书页上启用了需要(选择选项 安全性 证书 受信任证书),请将表示您希望 HP SIM 服务器信任的受管系统的证书导入到 HP SIM 的受信任系统证书列表中。对于受管设备的证书,可以使用其证书或(如果适用)证书颁发机构 (CA) 用来签署系统证书的证书。 将系统证书导入到 HP SIM 受信任系统证书列表中之前,请以可分辨编码规则 (DER) 或 Base64 编码格式将证书导出到文件中。为了获取系统证书,可以使用下列方法: 对于运行您有权访问其文件系统的 Windows 的系统,将文件 c:\compaq\wbem\cert.pem 中的证书以 Base64 编码格式复制到 HP SIM 可访问的某个位置或者直接访问它(如果 HP SIM 已经可以访问它)。 浏览到系统时导出系统证书。从浏览器菜单中选择文件 属性。单击[证书]。单击详细信息标签,然后单击[复制到文件]。将证书导出为 Base64 编码的 X.509 文件。
要获取 CA 证书,请与 CA 联系,或参阅证书服务器软件附带的文档。要将受管系统证书导入到 HP SIM 受信任系统证书列表中,请执行下列步骤:
选择选项 安全性 证书 受信任证书,然后单击 [导入]。此时将出现导入受信任系统证书区域。 在证书文件名字段的旁边,单击 [浏览]。 将出现选择文件对话框。 导航到要导入的证书的位置,然后选择文件名。单击 [打开]。 将导入证书。
注释:如果要在群集上设置受信任证书,请参阅故障排除 - 群集以了解详细信息。
禁止浏览器警告消息要在浏览到 HP SIM 的受管系统时禁止有关不受信任的证书的浏览器警告消息,请将证书导入到浏览器中。 打开 Internet Explorer,然后浏览到 https://managed_server:2381 上的受管服务器或 https://sim_server:50000 上的 HP SIM。
在 Internet Explorer 的安全警报上,单击 [查看证书]。
查看证书后,单击 [安装证书]。
单击 [下一步]。
单击 [将所有的证书放入下列存储]。
单击 [浏览]。
选择受信任根证书颁发机构,然后单击 [确定]。
单击 [下一步]。
单击 [完成]。
单击 [确定]。
相关步骤
相关主题
|