Fornisce informazioni su come proteggere le HMC nel proprio ambiente.
Sicurezza del gestore di sistema consente all'HMC di operare in sicurezza nella modalità client/server. I server e i client comunicano attraverso il protocollo SSL (Secure Sockets Layer), che fornisce l'autenticazione server, la codifica e l'integrità dei dati. Ciascun server del gestore sistema dispone della propria chiave privata e di un certificato della relativa chiave pubblica firmato da una CA (certificate authority - autorità di certificazione) garantita dai client del gestore sistema. La chiave privata e il certificato server sono memorizzati nel file keyring privato del server. E' necessario che ciascun client disponga di una chiave pubblica che contenga il certificato della CA garantita.
Una CA (Certificate Authority/Autorità di certificazione) è un'entità di gestione centrale garantita (un'HMC locale in questo caso) che può emettere certificati digitali ai client e ai server (HMC4 nella Figura 1). La garanzia nella CA costituisce la base di garanzia nel certificato come credenziale valida. Una CA utilizza la relativa chiave privata per creare una firma digitale sul certificato che essa emette per convalidare l'origine del certificato. Altri, come i client del gestore sistema, possono utilizzare la chiave pubblica del certificato CA per verificare l'autenticità dei certificati che la CA emette e firma.
Ciascun certificato digitale dispone di una coppia di chiavi crittografiche associate. Questa coppia di chiavi è composta da una chiave pubblica e una chiave privata. Una chiave pubblica fa parte del certificato digitale del proprietario ed è disponibile per l'utilizzo da parte di qualsiasi utente. Una chiave privata, al contrario, è protetta ed è disponibile soltanto per il relativo proprietario. Tale accesso limitato assicura la protezione delle comunicazioni che utilizzano la chiave. Il proprietario di un certificato può utilizzare tali chiavi per usufruire delle funzioni di sicurezza crittografica fornite dalla chiave. Ad esempio, il proprietario del certificato può utilizzare una chiave privata del certificato per "firmare" e codificare i dati inviati tra client e server, come ad esempio i messaggi, i documenti e gli oggetti del codice. Il destinatario dell'oggetto firmato può quindi utilizzare la chiave pubblica contenuta nel certificato del firmatario per decodificare la firma. Tali firme digitali assicurano l'affidabilità dell'origine di un oggetto e forniscono un mezzo di controllo dell'integrità dell'oggetto.
Un server è un'HMC a cui si desidera accedere in modalità remota. Nella Figura 1, le HMC 1, 3 e 4 sono server. Un client è un sistema da cui si desidera accedere ad altre HMC in modalità remota. Nella Figura 1, i Client remoti del gestore sistema basati sul Web A, B e C e le HMC 1, 2 e 5 sono client. Come mostrato nella Figura 1, è possibile configurare più server e client nelle reti private e aperte.
Un'HMC può assumere più ruoli contemporaneamente. Ad esempio, un'HMC può essere un client e un server come HMC1 nella Figura 1. Un'HMC può inoltre essere CA, server e client contemporaneamente.
E' necessario che ciascun server disponga di una chiave privata univoca e di un certificato della relativa chiave pubblica firmato da una CA garantita per i client. E' necessario che ciascun client disponga di una copia della chiave pubblica della CA.
Quella che segue è una panoramica di attività implicate nell'argomento Installazione e protezione del client remoto:
- Configurare un'HMC come CA (Certificate Authority).
- Utilizzare tale HMC per generare chiavi private per i server.
- Installare le chiavi private sui server.
- Configurare i server come server del gestore sistema protetti.
- Distribuire la chiave pubblica della CA ai server o client.