Apprenez à sécuriser les consoles HMC dans votre environnement.
La configuration de la sécurité System Manager permet de garantir le fonctionnement sécurisé de la console HMC en mode client-serveur. Les serveurs et les clients communiquent entre eux via le protocole SSL (protocole de couche de connexion sécurisée) qui assure l'authentification, le chiffrement et l'intégrité des données. Chaque serveur System Manager dispose d'une clé privée et d'un certificat de sa clé publique signé par une autorité de certification digne de confiance pour les clients System Manager. La clé privée et le certificat du serveur sont stockés dans le fichier de clés privées du serveur. Chaque client doit disposer d'une clé publique contenant le certificat de l'autorité de certification digne de confiance.
Une autorité de certification est une entité administrative centrale digne de confiance (une console HMC locale dans le cas présent) pouvant émettre des certificats numériques pour des clients et des serveurs (HMC4 dans la Figure 1). La confiance dans l'autorité de certification constitue la base de la confiance dans le certificat en tant que titre valide. Une autorité de certification utilise sa clé privée pour créer une signature numérique sur le certificat qu'elle émet pour valider l'origine du certificat. Les autres, notamment les clients System Manager, peuvent utiliser la clé publique du certificat de l'autorité de certification pour vérifier l'authenticité des certificats que l'autorité de certification émet et signe.
Chaque certificat numérique dispose d'une paire de clés cryptographiques associées. Cette paire de clés est composée d'une clé publique et d'une clé privée. Une clé publique fait partie du certificat numérique du propriétaire et peut être utilisée par tout le monde. En revanche, une clé privée est protégée par son propriétaire, qui est le seul à pouvoir l'utiliser. Cet accès limité garantit la sécurité des communications qui utilisent la clé. Le propriétaire d'un certificat peut utiliser ces clés pour profiter des fonctions de sécurité cryptographique fournies par les clés. Par exemple, le propriétaire d'un certificat peut utiliser la clé privée du certificat pour "signer" et chiffer les données, telles que les messages, les documents et les objets de code, entre les clients et les serveurs. Le destinataire de l'objet signé peut ensuite utiliser la clé publique contenue dans le certificat du signataire pour déchiffrer la signature. Les signatures numériques de ce type assurent la fiabilité de l'origine d'un objet et offrent un moyen de vérifier l'intégrité de l'objet.
Un serveur est une console HMC à laquelle vous souhaitez accéder à distance. Dans la Figure 1, les consoles HMC 1, 3 et 4 sont des serveurs. Un client est un système à partir duquel vous accédez à d'autres consoles HMC à distance. Dans la Figure 1, les clients distants Web-based System Manager A, B et C, et les consoles HMC 1, 2 et 5 sont des clients. Vous pouvez configurer plusieurs serveurs et clients sur vos réseaux privés et ouverts (voir Figure 1).
Une console HMC peut tenir plusieurs rôles simultanément. Par exemple, une console HMC peut être un client et un serveur comme HMC1 dans la Figure 1. Une console HMC peut également être à la fois une autorité de certification, un serveur et un client.
Chaque serveur doit disposer d'une clé privée unique et d'un certificat de sa clé publique signé par une autorité de certification digne de confiance pour les clients. Chaque client doit comporter une copie de la clé publique de l'autorité de certification.
Vous trouverez ci-dessous une présentation des tâches entrant en jeu lors des opérations d'installation et de sécurisation (Installation et sécurisation du client distant) :
- Configurez une console HMC en tant qu'autorité de certification.
- Utilisez cette console HMC pour générer des clés privées pour les serveurs.
- Installez les clés privées sur les serveurs.
- Configurez les serveurs en tant que serveurs System Manager sécurisés.
- Distribuez la clé publique de l'autorité de certification aux serveurs ou aux clients.