下列各節詳細說明如何設定 HP Systems Insight Manager (HP SIM) CMS 與受管理系統之間的信任關係。
在受管理系統進行配置為 單一登入和安全作業執行 (STE) 可以運作,受管理系統必須執行一個支援的代理程式且配置為信任的 HP SIM 伺服器。在 System Management Homepage (SMH) 中配置信任模式。可使用的信任模式如下:
依憑證信任 依憑證信任模式將 System Management Homepage 設定為僅接受具信任憑證的 HP SIM 伺服器配置變更。此模式要求送出的伺服器藉由數位簽章和憑證提供認證。由於它會先驗證數位簽名才允許存取,因此此模式是最強固的安全性方法。HP 建議此選項。
依名稱信任 依名稱信任模式將 System Management Homepage 設定為僅接受 依名稱信任欄位指定 HP SIM 名稱之伺服器的要求。依名稱信任選項相當易於配置並避免非惡意的存取。例如,若您有安全的網路,其中兩個不同部門中有兩個不同的管理員群組,您可能會使用此選項,避免其中一個群組將軟體安裝到錯誤的系統上。此選項僅可確認僅送出 HP SIM 伺服器名稱,而不會送出數位簽章。
信任所有 信任所有模式將 System Management Homepage 設定為接受任何系統的配置變更。例如,若您有安全的網路,且信任網路中的所有人,則可使用信任所有選項。
設定執行 System Management Homepage 的受管理系統自網頁瀏覽器,透過 https://受管理-伺服器:2381 瀏覽至受管理系統。隨即顯示 System Management Homepage。
登入 System Management Homepage。 依序選擇 Settings System Management Homepage Security。 按下 [Trust Mode]。隨即顯示 Trust Mode 頁面。 選取 Trust by Certificate 以取得信任的憑證。
按下 [Trust Certificate] 以存取可信任的管理伺服器憑證。
按下 [Save Configuration] 以儲存信任模式,或按下 [Reset Values] 以取消所有變更。
按一下瀏覽器的[回前一頁]按鈕。
在 [Add Certificate From Server] 旁的文字框中,輸入包含欲新增憑證之 HP SIM 伺服器的名稱。 按下 [Add Certificate From Server]。隨即顯示憑證資訊,供您在新增至清單前先行驗證。
附註:因為這是透過 HTTP 的非安全性要求,惡意一方可能會攔截要求並以偽造憑證回應要求。若需取得 HP SIM 憑證最安全方法的相關資訊,請參閱「匯入 HP SIM 憑證」一節。 確認憑證資訊,且若想將它增至可信任的憑證清單,請按一下 [Add Certificate to Trust List]。
附註:若要在叢集上設定一個可信任的憑證,請參閱疑難排解 - 叢集以取得相關的資訊。
匯入 HP SIM 憑證 |  |
自 HP SIM 伺服器將 HP SIM 伺服器憑證匯出至檔案。若需相關資訊,請參閱伺服器憑證 - 匯出伺服器憑證。 將憑證檔案置於可以存取至受管理系統的檔案系統之檔案內。 瀏覽至受管理系統,並使用記事本開啟在步驟 1 中建立的 HP SIM 伺服器憑證。 反白選取檔案的整個內容,包括 Begin Certificate 和 End Certificate 等行。將反白選取的憑證檔案內容複製到剪貼簿。 返回至受管理系統瀏覽器並選取 HP SIM Certificate data 方框。 將憑證檔案內容貼至此方塊中,並按一下 [Add Cert]。隨即顯示在上方有三個連結的確認視窗。 按一下選項並捲動至可信任的憑證部份。隨即顯示剛新增 HP SIM 憑證名為可信任的憑證:的清單,有伺服器名稱和兩個連結:檢視憑證和移除憑證。
設定執行 HTTP 管理伺服器的受管理系統匯入 HP SIM 憑證 |  |
自 HP SIM 伺服器將 HP SIM 伺服器憑證匯出至檔案。若需相關資訊,請參閱伺服器憑證 - 匯出伺服器憑證。 將憑證檔案置於可以存取至受管理系統的檔案系統之檔案內。 瀏覽至受管理系統,並使用記事本開啟在步驟 1 中建立的 HP SIM 伺服器憑證。 反白選取檔案的整個內容,包括 Begin Certificate 和 End Certificate 等行。將反白選取的憑證檔案內容複製到剪貼簿。 返回至受管理系統瀏覽器並選取 HP SIM Certificate data 方框。 將憑證檔案內容貼至此方塊中,並按一下方塊下方的 [Add Cert]。隨即顯示在上方有三個連結的確認視窗。 按一下選項並捲動至可信任的憑證部份。隨即顯示剛新增 HP SIM 憑證名為可信任的憑證:的清單,有伺服器名稱和兩個連結:檢視憑證和移除憑證。
要求 HP SIM 憑證 |  |
在適當的欄位內輸入 HP SIM 伺服器名稱並按一下對應的 [Get Cert] 按鈕。受管理系統讓直接將 HTTP 要求送至 HP SIM 伺服器取其憑證。
附註:因為這是透過 HTTP 的非全性要求,惡意一方可能會攔截要求並以偽造憑證回應要求。若需取得 HP SIM 憑證最安全方法的相關資訊,請參閱「匯入 HP SIM 憑證」。 在 Onboard Administrator 進行配置 |  |
若需啟用 Onboard Administrator 1.20 版或更新版中的單一登入支援之相關資訊,請參閱 Onboard Administrator 文件。
在 HP StorageWorks Command View EVA 進行配置 |  |
若需啟用 HP StorageWorks Command View EVA 6.0 版或更新版中的單一登入支援之相關資訊,請參閱 HP StorageWorks Command View EVA 文件。
在 HP SIM 進行配置 |  |
系統識別必須針對 HP SIM 的所有受管理系統至少執行一次系統識別作業,以得知它支援單一支援和安全作業執行,或是這些功能無法運作。 信任系統的憑證若已啟用可信任系統的憑證頁面 (依序選擇選項 安全性 憑證 可信任的憑證) 的需要,將您想要 HP SIM 伺服器信任代表受管理系統的憑證匯入 HP SIM 的可信任系統憑證清單中。若為受管理系統憑證,您可以使用其憑證或 (若適用) 認證機構 (CA) 用於簽章系統憑證的憑證。 在將系統憑證匯入 HP SIM 可信任的系統憑證清單前,先將憑證匯出至 Distinguished Encoding Rules (DER) 或 Base64 編碼格式的檔案內。為取得系統憑證,您可以: 若為執行 Windows 的系統 (您可以存取至檔案系統),將在檔案 c:\compaq\wbem\cert.pem中 Base64 編碼格式的憑證複製到可由 HP SIM 存取的某處或是直接存取它 (若已可由 HP SIM 存取)。 在瀏覽至系統時匯出系統憑證。自瀏覽器功能表依序選擇檔案 內容。按一下[憑證]。按一下詳細資料頁籤後再按一下[複製到檔案]。以 Base64 編碼的 X.509 檔案匯出憑證。
為取得 CA 憑證,請洽詢您的 CA或是參閱您憑證伺服器軟體隨附的文件。欲將受管理系統憑證匯入 HP SIM 可信任的系統憑證清單:
依序選擇選項 安全性 憑證 伺服器憑證後,再按一下[匯入]。隨即顯示匯入伺服器憑證部分。 按一下憑證檔案名稱欄位旁的[瀏覽]。 隨即顯示選擇檔案對話方塊。 導覽至欲匯入憑證的位置並選擇檔案名稱。按一下[開啟]。 憑證已匯入。
附註:若在叢集上設定一個信任的憑證,請參閱疑難排解 - 叢集即可取得相關的資訊。
隱藏瀏覽器警告訊息欲在瀏覽至 HP SIM 的受管理系統時隱藏非安全憑證之瀏覽器警告訊息時,請將憑證匯入瀏覽器。 開啟 Internet Explorer,並瀏覽至在 https://受管理_伺服器:2381 的受管理伺服器,或是在 https://sim_伺服器:50000 的 HP SIM。
在 Internet Explorer 安全性警示上,按一下 [檢視憑證]。
檢視憑證後,按一下[安裝憑證]。
按一下[下一步]。
按一下[將所有憑證放入以下的存放區]。
按一下[瀏覽]。
選取信任的根目錄憑證授權,並按一下[下一步]。
按一下[下一步]。
按一下[結束]。
按一下[確定]。
相關程序
相關主題
|