Sécurité renforcée – HP Systems Insight Manager Manuel d'utilisation
Page 120
du certificat, entraînant la définition d'une relation d'approbation inattendue. Cependant, sur
la plupart des réseaux, elle s'avère raisonnablement fiable.
•
Importez le certificat HP SIM pendant l'installation initiale des agents Insight Management.
Vous pouvez réaliser cette opération manuellement durant une installation assistée ou, dans
le cas contraire, via le fichier de configuration. Cette méthode est plus sûre car elle présente
peu de risques d'usurpation d'identité.
•
Si vous avez déjà déployé les agents Insight Manager, vous pouvez distribuer le fichier des
paramètres de sécurité et le certificat HP SIM directement aux systèmes gérés, en utilisant la
sécurité du système d'exploitation.
IMPORTANT :
Lorsque vous activez l'option Trust by certificate (Approbation par certificat), le
certificat SSL HP SIM doit être redistribué si un nouveau certificat SSL est généré pour HP SIM. SSH
sur le système géré fonctionne normalement dans le même mode que l'approbation par certificat
et requiert la clé publique SSH du CMs. Notez que la clé publique SSH n'est pas l'équivalent du
certificat SSL. Pour copier la clé sur le système géré, exécutez la commande mxagentconfig sur
le CMs. Vous devez effectuer cette opération pour chaque compte utilisateur du système géré, car
le compte administrateur ou racine est utilisé par défaut.
Si la paire de clés SSH est régénérée, la clé publique SSH HP SIM doit être redistribuée.
Sécurité renforcée
L'option de sécurité renforcée permet de bénéficier de toutes les options de sécurité. Elle offre le
niveau de sécurité le plus élevé dans l'environnement sécurisé HP SIM ; toutefois, elle requiert
cependant l'exécution de procédures supplémentaires sur votre serveur. De plus, elle vous permet
d'utiliser votre propre PKI, qui inclut une autorité de certification et un serveur de certificats.
Procédure 22 Paramétrage de la sécurité renforcée
1.
Générez des certificats depuis votre serveur de certificats sur chaque système géré et sur le
système HP SIM. Pour ce faire, générez d'abord une demande de signature de certificat (CSR)
à partir des différents systèmes. Cette demande crée un fichier PKCS#7 qui doit ensuite être
transféré vers le serveur de certificats et signé ; le fichier obtenu (en général une réponse
PKCS#10) doit alors être importé dans chaque système géré et le système HP SIM.
Pour garantir une sécurité optimale, il est important de ne pas effectuer cette procédure sur
un réseau, à moins que les communications ne soient déjà protégées par un autre dispositif.
Ainsi, dans le cas de Insight Management Agent, il convient de connecter un support amovible
(par exemple une clé USB ou une unité de disquette) directement au système géré, d'y copier
le fichier PKCS#7, puis de transférer celui-ci vers un système sécurisé ayant accès au serveur
de certificats. De la même façon, le fichier de réponse PKCS#10 doit être copié sur le support
amovible, puis transféré vers le système géré pour être importé dans Insight Management
Agent.
2.
Sélectionnez le certificat racine (lui seul, sans la clé privée) sur votre serveur de certificats et
importez-le dans la liste des certificats approuvés HP SIM. HP SIM peut ainsi approuver tous
les systèmes gérés puisqu'ils ont été signés avec ce certificat racine.
3.
Sélectionnez le certificat du système HP SIM et importez-le dans Insight Management Agent
sur chaque système. Cela permet aux systèmes gérés d'approuver le système HP SIM. Il est
possible d'utiliser d'autres méthodes pour distribuer le certificat HP SIM. Toutefois, évitez de
récupérer directement le certificat sur le système HP SIM via le réseau en raison du risque
d'interception.
Comme dans l'option Moderate (Moyenne), vous devez redistribuer le certificat SSL HP SIM
aux systèmes gérés chaque fois qu'un nouveau certificat SSL HP SIM est généré.
4.
Une fois cette procédure terminée, vous pouvez sélectionner l'option dans HP SIM pour activer
la fonction Require Trusted Certificates (Exiger des certificats approuvés). Sélectionnez
Options
→Security (Sécurité) →Trusted Systems (Systèmes approuvés) , puis cliquez sur Trusted
120 Présentation des fonctions de sécurité de HP SIM