Hier erfahren Sie, wie Sie die HMCs in Ihrer Umgebung sichern.
System Manager Security stellt sicher, dass die HMC sicher im Client/Server-Modus betrieben werden kann. Server und Clients kommunizieren über das Secure Sockets Layer-Protokoll (SSL), das Serverauthentifizierung, Datenverschlüsselung und Datenintegrität zur Verfügung stellt. Jeder System Manager-Server verfügt über einen eigenen privaten Schlüssel und ein Zertifikat seines öffentlichen Schlüssels, das von einer von den System Manager-Clients anerkannten Zertifizierungsstelle (Certificate Authority, CA) unterzeichnet wurde. Der private Schlüssel und das Serverzertifikat werden in der Datei mit dem privaten Schlüsselring des Servers gespeichert. Jeder Client muss einen öffentlichen Schlüssel besitzen, der das Zertifikat der anerkannten CA enthält.
Eine Zertifizierungsstelle (Certificate Authority, CA) ist eine anerkannte zentrale Verwaltungseinheit (in diesem Fall eine lokale HMC), die digitale Zertifikate für Clients und Server ausstellen kann (HMC4 in Abbildung 1). Die Anerkennung der CA ist die Grundlage für die Anerkennung des Zertifikats als gültiger Berechtigungsnachweis. Eine CA erstellt mit ihrem privaten Schlüssel eine digitale Unterschrift für das von ihr ausgestellte Zertifikat, um den Ursprung des Zertifikats zu bestätigen. Andere, wie z. B. System Manager-Clients, können mit dem öffentlichen CA-Schlüssel die Authentizität der Zertifikate prüfen, die von der CA ausgestellt und unterzeichnet werden.
Jedes digitale Zertifikat hat ein Paar zugeordneter Chiffrierschlüssel. Dieses Schlüsselpaar besteht aus einem öffentlichen und einem privaten Schlüssel. Ein öffentlicher Schlüssel ist Teil des digitalen Zertifikats eines Benutzers und kann von allen Benutzern verwendet werden. Ein privater Schlüssel ist jedoch geschützt; er ist nur für den Eigner des Schlüssels verfügbar. Durch diesen eingeschränkten Zugriff wird sichergestellt, dass Übertragungen, die den Schlüssel verwenden, sicher sind. Der Eigner des Zertifikats kann mit diesen Schlüsseln die Verschlüsselungseinrichtungen nutzen, die von den Schlüsseln zur Verfügung gestellt werden. So kann der Zertifikateigner z. B. den privaten Schlüssel eines Zertifikats zum "Unterzeichnen" und Verschlüsseln von Daten verwenden, die zwischen Clients und Servern übertragen werden (wie z. B. Nachrichten, Dokumente und Codeobjekte). Der Empfänger des unterzeichneten Objekts kann die Signatur anschließend mit dem öffentlichen Schlüssel entschlüsseln, der im Zertifikat des Unterzeichners enthalten ist. Solche digitale Unterschriften gewährleisten die Zuverlässigkeit des Objektursprungs und stellen eine Methode bereit, mit der die Integrität eines Objekts überprüft werden kann.
Ein Server ist eine HMC, auf die Sie über Remotezugriff zugreifen. In Abbildung 1 sind die HMCs 1, 3 und 4 Server. Ein Client ist ein System, von dem aus Sie über Remotezugriff auf andere HMCs zugreifen. In Abbildung 1 sind die Web-based System Manager Remote Clients A, B und C sowie die HMCs 1, 2 und 5 Clients. Wie in Abbildung 1 gezeigt, können Sie in Ihren privaten und öffentlichen Netzen mehrere Server und Clients konfigurieren.
Eine HMC kann mehreren Berechtigungsklassen angehören. So kann eine HMC z. B. ein Client und ein Server sein (siehe HMC1 in Abbildung 1). Eine HMC kann auch gleichzeitig eine CA, ein Server und ein Client sein.
Jeder Server muss über einen eigenen privaten Schlüssel und ein Zertifikat seines öffentlichen Schlüssels verfügen, das von einer von den Clients anerkannten CA unterzeichnet wurde. Jeder Client muss eine Kopie des öffentlichen CA-Schlüssels besitzen.
Der folgende Abschnitt zeigt eine Übersicht über die Tasks, die in Fernen Client installieren und sichern ausgeführt werden:
- Eine HMC als Zertifizierungsstelle (Certificate Authority, CA) konfigurieren.
- Mit dieser HMC private Schlüssel für die Server generieren.
- Die privaten Schlüssel auf den Servern installieren.
- Die Server als sichere System Manager-Server konfigurieren.
- Den öffentlichen CA-Schlüssel an die Server oder Clients verteilen.