Разработайте план организации защиты HMC в своей среде.
Приложение Защита Администратора системы обеспечивает безопасную работу HMC в режиме клиент-сервер. Серверы и клиенты взаимодействуют с помощью протокола SSL, обеспечивающего идентификацию серверов, шифрование данных и целостность данных. У каждого сервера Администратора системы есть собственный личный ключ и сертификат общего ключа, подписанный сертификатной компанией (CA), которой доверяют клиенты Администратора системы. Личный ключ и сертификат сервера хранятся в файле набора личных ключей сервера. На каждом клиенте должен храниться общий ключ, содержащий сертификат уполномоченной CA.
Сертификатная компания (CA) - это административная единица (в данном случае - локальная HMC), которая уполномочена выдавать цифровые сертификаты клиентам и серверам (HMC4 в Рис. 1). Применение сертификата в качестве идентификационных данных базируется на доверии сертификатной компании. Сертификатная компания использует свой общий ключ для создания цифровой подписи в сертификате, который она выдает. Другие приложения, в том числе клиенты Администратора системы, используют общий ключ сертификата CA для проверки подлинности сертификатов, выданных и подписанных CA.
С любым цифровым сертификатом связана пара ключей шифрования. Она состоит из личного и общего ключа. Общий ключ входит в состав цифрового сертификата владельца и может использоваться кем угодно. Личный ключ доступен только своему владельцу. Ограничение доступа к этому ключу гарантирует безопасность соединения, использующего ключ. Владелец может использовать свои ключи для применения различных функций защиты, связанных с шифрованием. Например, владелец сертификата может "подписывать" и зашифровывать данные, передаваемые между клиентом и сервером (в том числе сообщения, документы и исходный код), с помощью личного ключа, входящего в состав сертификата. Получатель объекта с подписью может расшифровать подпись с помощью общего ключа, содержащегося в сертификате автора подписи. Цифровая подпись подтверждает надежность отправителя объекта и дает возможность проверить целостность объекта.
Сервером называется HMC, к которой необходимо получить доступ с удаленного компьютера. На Рис. 1 серверами являются HMCс номерами 1, 3 и 4. Клиентом называется система, с которой требуется получить доступ к удаленным HMC. На Рис. 1 клиентами являются удаленные клиенты Web-администратора системы A, B и C, а также HMC с номерами 1, 2 и 5. Как показано на Рис. 1, в частной и открытой сетях можно настроить несколько клиентов и серверов.
HMC может выполнять сразу несколько ролей. Например, HMC1 на Рис. 1 является и клиентом, и сервером. Кроме того, HMC может одновременно выполнять роль CA, сервера и клиента.
У каждого сервера должен быть уникальный личный ключ и сертификат с общим ключом, подписанный CA, которой доверяют клиенты. У всех клиентов должна быть копия общего ключа CA.
Ниже приведен обзор задач Установка и защита удаленного клиента:
- Настройте одну HMC в качестве сертификатной компании (CA).
- С помощью этой HMC создайте личные ключи для серверов.
- Установите личные ключи на серверах.
- Настройте серверы как защищенные серверы Администратора системы.
- Разошлите общий ключ CA всем серверам или клиентам.