Strong – HP Systems Insight Manager Manuel d'utilisation
Page 128
Il existe plusieurs façons de distribuer ce certificat :
•
Utilisez l'option Set Trust Relationship (Définir la relation d'approbation) de l'outil Configure
or Repair Agents dans HP SIM pour déployer le certificat HP SIM sur les systèmes gérés. Selon
le cas, vous pouvez utiliser des connexions réseau SSL ou Windows pour copier les fichiers
et configurer les systèmes gérés.
•
Utilisez l'interface Web dans une instance spécifique de Agent Insight Management pour
indiquer le système HP SIM à approuver. Dans ce cas, les agents récupèrent immédiatement
le certificat numérique sur le système HP SIM ; vous pouvez alors le vérifier, puis configurer
la relation d'approbation. Bien que cette option présente un risque limité de vulnérabilité, une
usurpation d'identité du système HP SIM reste toujours possible au moment de la récupération
du certificat, entraînant la définition d'une relation d'approbation inattendue. Cependant, sur
la plupart des réseaux, elle s'avère raisonnablement fiable.
•
Importez le certificat HP SIM durant la première installation d'Agents Insight Management.
Vous pouvez réaliser cette opération manuellement durant une installation assistée ou, dans
le cas contraire, via le fichier de configuration. Cette méthode est plus sûre car elle présente
peu de risques d'usurpation d'identité.
•
Si vous avez déjà déployé l'Agent Insight Management, vous pouvez distribuer le fichier des
paramètres de sécurité et le certificat HP SIM directement aux systèmes gérés, en utilisant la
sécurité du système d'exploitation.
IMPORTANT :
Lorsque vous activez l'option Trust by certificate (Approbation par certificat), le
certificat SSL HP SIM doit être redistribué si un nouveau certificat SSL est généré pour HP SIM. SSH
sur le système géré fonctionne normalement dans le même mode que l'approbation par certificat
et requiert la clé publique SSH du CMS. Notez que la clé publique SSH n'est pas l'équivalent du
certificat SSL. Pour copier la clé sur le système géré, exécutez la commande mxagentconfig sur
le CMS. Vous devez effectuer cette opération pour chaque compte utilisateur du système géré, car
le compte administrateur ou racine est utilisé par défaut.
Si la paire de clés SSH est régénérée, la clé publique SSH HP SIM doit être redistribuée.
Strong
L'option de sécurité renforcée permet de bénéficier de toutes les options de sécurité. Elle offre le
niveau de sécurité le plus élevé dans l'environnement sécurisé HP SIM ; toutefois, elle requiert
cependant l'exécution de procédures supplémentaires sur votre serveur. De plus, elle vous permet
d'utiliser votre propre PKI, qui inclut une autorité de certification et un serveur de certificats.
Procédure 30 Paramétrage de la sécurité renforcée
1.
Générez des certificats depuis votre serveur de certificats sur chaque système géré et sur le
système HP SIM. Pour ce faire, générez d'abord une demande de signature de certificat (CSR)
à partir des différents systèmes. Cette demande crée un fichier PKCS#7 qui doit ensuite être
transféré vers le serveur de certificats et signé ; le fichier obtenu (en général une réponse
PKCS#10) doit alors être importé dans chaque système géré et le système HP SIM.
Pour garantir une sécurité optimale, il est important de ne pas effectuer cette procédure sur
un réseau, à moins que les communications ne soient déjà protégées par un autre dispositif.
Ainsi, dans le cas de Agent Insight Management, il convient de connecter un support amovible
(par exemple une clé USB ou une unité de disquette) directement au système géré, d'y copier
le fichier PKCS#7, puis de transférer celui-ci vers un système sécurisé ayant accès au serveur
de certificats. De la même façon, le fichier de réponse PKCS#10 doit être copié sur le support
amovible, puis transféré vers le système géré pour être importé dans Agent Insight Management.
2.
Sélectionnez le certificat racine (lui seul, sans la clé privée) sur votre serveur de certificats et
importez-le dans la liste des certificats approuvés HP SIM. HP SIM peut ainsi approuver tous
les systèmes gérés puisqu'ils ont été signés avec ce certificat racine.
128
Présentation des fonctions de sécurité de HP SIM