了解如何在您的环境中保证 HMC 的安全性。
系统管理器安全性确保 HMC 能够以客户机/服务器方式安全地进行操作。服务器和客户机通过安全套接字层(SSL)协议进行通信,该协议提供服务器认证、数据加密和数据完整性。每个系统管理器服务器都有自己的专用密钥,以及由系统管理器客户机信任的认证中心(CA)签名的公用密钥证书。专用密钥和服务器证书存储在服务器的专用密钥环文件中。每个客户机都必须具有包含可信 CA 的证书的公用密钥。
认证中心(CA)是可信的中央管理实体(在此情况下为本地 HMC),它可将数字证书签发到客户机和服务器(图 1 中的 HMC4)。CA 的信任是对作为有效凭证的证书的信任的基础。CA 使用专用密钥在其签发的证书上创建数字签名,用来验证证书的来源。其他方(例如系统管理器客户机)可以使用 CA 证书的公用密钥来验证 CA 签发和签名的证书的真实性。
每份数字证书都有一对关联的密钥。这对密钥由公用密钥和专用密钥组成。公用密钥是所有者的数字证书的一部分,可提供给所有人使用。但是,专用密钥受密钥所有者保护,且仅供密钥所有者使用。这种受限访问可确保使用密钥的通信的安全。证书的所有者可以使用这些密钥以充分利用密钥提供的加密安全功能。例如,证书的所有者可以使用证书的专用密钥对在客户机和服务器之间发送的数据(例如消息、文档和代码对象)进行“签名”并加密。然后,签名对象的接收方可以使用包含在签署者证书中的公用密钥来对签名解密。这些数字签名确保对象来源的可靠性,并提供一种检查对象完整性的方法。
服务器是要以远程方式访问的 HMC。在图 1 中,HMC 1、3 和 4 是服务器。客户机是要以远程方式访问其他 HMC 的系统。在图 1 中,基于 Web 的系统管理器远程客户机 A、B 和 C 以及 HMC 1、2 和 5 都是客户机。如图 1 中所示,可以在专用网络和开放式网络中配置多个服务器和客户机。
HMC 可以同时充当多个角色。例如,HMC 可以是客户机和服务器,如图 1 中的 HMC1。HMC 同时也可以是 CA、服务器和客户机。
每个服务器都必须具有唯一的专用密钥,以及由客户机所信任的 CA 签名的公用密钥证书。每台客户机必须都具有 CA 的公用密钥的副本。
以下是安装并保证远程客户机的安全中所涉及的任务的概述:
- 配置一个 HMC 作为认证中心(CA)。
- 使用此 HMC 来生成服务器的专用密钥。
- 在服务器上安装专用密钥。
- 配置服务器作为安全系统管理器服务器。
- 将 CA 的公用密钥分发给服务器或客户机。