Máxima – HP Systems Insight Manager Manual del usuario
Página 120
IMPORTANTE:
Cuando se usa la opción Trust by certificate (Confiar por certificado), el certificado
SSL de HP SIM debe redistribuirse si se genera un certificado SSL nuevo para HP SIM. Por lo
general, SSH en el sistema gestionado funciona de forma parecida a confiar por certificado, en
cuanto a que requiere la clave pública SSH del CMS. Debe tener en cuenta que la clave pública
SSH no es la misma que el certificado SSL. El comando mxagentconfig se usa en el CMS para
copiar la clave en el sistema gestionado. Esto puede hacerse para cada cuenta de usuario que
deba usarse en el sistema gestionado ya que, de forma predeterminada, se usa la cuenta de
usuario raíz o de administrador.
La clave pública SSH de HP SIM debe redistribuirse si se vuelve a generar el par de claves SSH.
Máxima
La opción de seguridad más fuerte le permite sacar partido de todas las características de
seguridad. Esta opción ofrece el nivel más alto de seguridad disponible en la infraestructura de
seguridad de HP SIM; no obstante, es necesario llevar a cabo pasos adicionales en las operaciones
del servidor. Asimismo, esta opción se facilita mediante su propia PKI, que incluye una entidad
emisora de certificados y un servidor de certificados.
Procedimiento 24 Configuración de la seguridad máxima
1.
Genere certificados desde su servidor de certificados para cada sistema gestionado y del
sistema HP SIM. Para hacerlo, genere primero una solicitud de firma de certificado (CSR)
desde varios sistemas. Esto genera un archivo PKCS#7, A continuación, este archivo se debe
pasar al servidor de certificados y firmar, y el archivo resultante (generalmente una respuesta
PKCS#10) debe importarse en cada sistema gestionado y al sistema HP SIM.
Para maximizar la seguridad, es importante no realizar ninguno de estos pasos a través de
una red a menos que todas las comunicaciones ya estén protegidas por algún otro tipo de
mecanismo.
Por consiguiente, en el caso de los agentes Insight Management Agent, debe llevarse un
soporte extraíble (por ejemplo, un lápiz de memoria USB, un disco) directamente al sistema
gestionado, se le debe aplicar el PKCS#7 y luego debe llevarse a mano a un sistema seguro
con acceso al servidor de certificados. El archivo de respuestas PKCS#10 debería colocarse
de forma parecida en el soporte extraíble y luego devolverse al sistema gestionado para ser
importado en los agentes Insight Management Agent.
2.
Tome el certificado raíz (sólo el certificado, no la clave privada) del servidor de certificados
e impórtelo en la lista de certificados de confianza de HP SIM. Esto permite a HP SIM confiar
en todos los sistemas gestionados, porque éstos se firmaron con este certificado raíz.
3.
Tome el certificado del sistema HP SIM e impórtelo en los agentes Insight Management Agent
de cada sistema. Esto permite a los sistemas gestionados confiar en el sistema HP SIM. Este
certificado puede distribuirse mediante cualquiera de los métodos disponibles para distribuir
el certificado de HP SIM. No obstante, la opción de obtener el certificado directamente del
sistema HP SIM a través de la red debe evitarse debido a posibles ataques intermedios.
Como ocurre con la opción Moderate (Moderado), debe redistribuir el certificado SSL de HP
SIM a los sistemas gestionados siempre que se genere un nuevo certificado SSL de HP SIM.
4.
Una vez que haya completado estos pasos, puede activar la opción en HP SIM para habilitar
la función Require Trusted Certificates (Requerir certificados de confianza). Seleccione
Options
→Security→Trusted Systems (Opciones > Seguridad > Sistemas de confianza) y, a
continuación, haga clic en Trusted Certificates (Certificados de confianza). Las advertencias
que se presentan alrededor de esta opción dejan claro que no se enviará ningún comando
seguro desde el sistema HP SIM a los sistemas gestionados que no tengan un certificado
firmado por su servidor de certificados, aunque sí se supervisarán para ver el estado del
hardware.
120 Información sobre la seguridad de HP SIM