Sécurité renforcée – HP Systems Insight Manager Manuel d'utilisation

Si la paire de clés SSH est régénérée, la clé publique SSH HP SIM doit être redistribuée.

Sécurité renforcée

L'option de sécurité renforcée permet de tirer parti de toutes les fonctions de sécurité. Cette option
offre le plus haut niveau de sécurité disponible dans l'environnement HP SIM ; cependant vous
devez suivre certains procédures supplémentaires dans le fonctionnement de votre serveur. De
plus, elle vous permet d'utiliser votre propre PKI, qui inclut une autorité de certification et un serveur
de certificats.

Procédure 24 Paramétrage de la sécurité renforcée

1.

Générez des certificats depuis votre serveur de certificats sur chaque système géré et sur le
système HP SIM. Pour ce faire, générez d'abord une demande de signature de certificat (CSR)
à partir des différents systèmes. Cette opération génère un fichier PKCS#7 qui doit ensuite
être transféré vers le serveur de certificats et signé ; le fichier obtenu (en général une réponse
PKCS#10) doit alors être importé dans chaque système géré et le système HP SIM.

Pour garantir une sécurité optimale, il est important de ne pas effectuer cette procédure sur
un réseau, à moins que les communications ne soient déjà protégées par un autre dispositif.

Ainsi, dans le cas de Agent Insight Management, il convient de connecter un support amovible
(par exemple une clé USB ou une unité de disquette) directement au système géré, d'y copier
le fichier PKCS#7, puis de transférer celui-ci vers un système sécurisé ayant accès au serveur
de certificats. De la même façon, le fichier de réponse PKCS#10 doit être copié sur le support
amovible, puis transféré vers le système géré pour être importé dans Agent Insight Management.

2.

Sélectionnez le certificat racine (lui seul, sans la clé privée) sur votre serveur de certificats et
importez-le dans la liste des certificats approuvés HP SIM. HP SIM peut ainsi approuver tous
les systèmes gérés puisqu'ils ont été signés avec ce certificat racine.

3.

Sélectionnez le certificat du système HP SIM et importez-le dans Agent Insight Management
sur chaque système. Cela permet aux systèmes gérés d'approuver le système HP SIM. Il est
possible d'utiliser d'autres méthodes pour distribuer le certificat HP SIM. Toutefois, évitez de
récupérer directement le certificat sur le système HP SIM via le réseau en raison du risque
d'interception.

Comme dans l'option Moderate (Moyenne), vous devez redistribuer le certificat SSL HP SIM
aux systèmes gérés chaque fois qu'un nouveau certificat SSL HP SIM est généré.

4.

Une fois cette procédure terminée, vous pouvez sélectionner l'option dans HP SIM pour activer
la fonction Require Trusted Certificates (Exiger des certificats approuvés). Sélectionnez
Options

→Security→Trusted Systems(Systèmes approuvés), puis cliquez sur Trusted Certificates

(Certificats approuvés). Les avertissements liés à cette option indiquent clairement que les
systèmes gérés dépourvus de certificat signé par votre serveur de certificats ne recevront pas
les commandes sécurisées envoyées par le système HP SIM, bien que son état matériel soit
surveillé.

5.

Pour SSH, activez l'option afin d'accepter les connexions SSH des seuls systèmes spécifiés.
Sélectionnez Options

→Security→Trusted Systems(Systèmes approuvés), cliquez sur SSH Host

Keys (Clés de l'hôte SSH), puis activez l'option The central management server will accept an
SSH connection only if the host key is in list below (Le serveur de gestion centrale n'accepte
de connexion SSH que si la clé de l'hôte figure dans la liste ci-dessous). Vous devez ensuite
importer manuellement la clé SSH publique de chaque système géré dans la liste des clés de
HP SIM.

Pour configurer cette option dans les versions antérieures de HP SIM, ajoutez ou modifiez la
ligne suivante dans le fichier Hmx.properties :

MX_SSH_ADD_UNKNOWN_HOSTS=false

et redémarrez HP SIM.

Procédure : verrouillage et facilité d'utilisation sur les systèmes Windows

115