Máxima, Configuración de la seguridad máxima – HP Systems Insight Manager Manual del usuario
Página 113
Este certificado puede distribuirse de varias formas:
•
Use la opción Set Trust Relationship (Configurar relación de confianza) de Configure or Repair
Agents en Systems Insight Manager para implementar el certificado de Systems Insight Manager
en los sistemas administrados. En función del sistema administrado, éste puede usar conexiones
de red Windows o SSL para copiar archivos y configurar los sistemas administrados.
•
Use la interfaz basada en Web en un Insight Management Agents individual para especificar
el sistema Systems Insight Manager con el que se debe confiar. De este modo los agentes
obtienen inmediatamente el certificado digital del sistema Systems Insight Manager, lo que
permite comprobarlo, y luego se configura la relación de confianza. Si bien esta opción
presenta algunas vulnerabilidades limitadas, se podría engañar al sistema Systems Insight
Manager al obtener el certificado y, por consiguiente, configurar una relación de confianza
inesperada. No obstante, este método es relativamente seguro para la mayor parte de las
redes.
•
Importe el certificado de Systems Insight Manager durante la instalación inicial de los agentes
Insight Management Agent. Puede hacerlo manualmente durante una instalación asistida o
a través del archivo de configuración en una instalación desasistida. Este método es más
seguro porque las oportunidades de un ataque de engaño parecido al anterior son mínimas.
•
Si ya ha implementado los agentes Insight Management Agents, puede distribuir el archivo
de configuración de seguridad y el certificado de Systems Insight Manager directamente a
los sistemas administrados mediante la seguridad del sistema operativo.
IMPORTANTE:
Cuando se usa la opción Trust by certificate (Confiar por certificado), el certificado
SSL de Systems Insight Manager debe redistribuirse si se genera un certificado SSL nuevo para
Systems Insight Manager. Por lo general, SSH en el sistema administrado funciona de forma
parecida a confiar por certificado, en cuanto a que requiere la clave pública SSH del CMS. Debe
tener en cuenta que la clave pública SSH no es la misma que el certificado SSL. El comando
mxagentconfig
se usa en el CMS para copiar la clave en el sistema administrado. Esto puede
hacerse para cada cuenta de usuario que deba usarse en el sistema administrado ya que, de
forma predeterminada, se usa la cuenta de usuario raíz o de administrador.
La clave pública SSH de Systems Insight Manager debe redistribuirse si se genera de nuevo el
par de claves SSH.
Máxima
La opción de seguridad máxima (Strong) permite aprovechar las ventajas de todas las características
de seguridad. Esta opción ofrece el nivel más alto de seguridad disponible en la infraestructura
de seguridad de Systems Insight Manager; no obstante, es necesario llevar a cabo pasos
adicionales en las operaciones del servidor. Asimismo, esta opción se facilita mediante su propia
PKI, que incluye una entidad emisora de certificados y un servidor de certificados.
Procedimiento 23 Configuración de la seguridad máxima
1.
Genere certificados desde su servidor de certificados para cada sistema administrado y del
sistema Systems Insight Manager. Para hacerlo, genere primero una solicitud de firma de
certificado (CSR) desde varios sistemas. De este modo se genera un archivo PKCS#7. A
continuación, este archivo se debe pasar al servidor de certificados y firmar, y el archivo
resultante (generalmente una respuesta PKCS#10) debe importarse en cada sistema
administrado y al sistema Systems Insight Manager.
Para maximizar la seguridad, es importante no realizar ninguno de estos pasos a través de
una red a menos que todas las comunicaciones ya estén protegidas por algún otro tipo de
mecanismo.
Por consiguiente, en el caso de los agentes Insight Management Agents, debe llevarse un
soporte extraíble (por ejemplo, un lápiz de memoria USB, un disco) directamente al sistema
administrado, se le debe aplicar el PKCS#7 y luego debe llevarse a mano a un sistema seguro
Procedimiento: Bloqueo frente a facilidad de uso en sistemas Windows
113