Documentation

1 Handmatige structuur
2 Wat is Zabbix
3 Zabbix-functies
4 Zabbix overzicht
5 Wat is nieuw in Zabbix 6.0.0
6 Wat is er nieuw in Zabbix 6.0.1
7 Wat is er nieuw in Zabbix 6.0.2
8 Wat is er nieuw in Zabbix 6.0.3
9 Wat is er nieuw in Zabbix 6.0.4
10 Wat is er nieuw in Zabbix 6.0.5
11 Wat is er nieuw in Zabbix 6.0.6
12 Wat is er nieuw in Zabbix 6.0.7
13 Wat is er nieuw in Zabbix 6.0.8
14 Wat is er nieuw in Zabbix 6.0.9
15 Wat is er nieuw in Zabbix 6.0.10
16 Wat is er nieuw in Zabbix 6.0.11
17 Wat is er nieuw in Zabbix 6.0.12
18 Wat is er nieuw in Zabbix 6.0.13
19 Wat is er nieuw in Zabbix 6.0.14
20 Wat is er nieuw in Zabbix 6.0.15
21 Wat is er nieuw in Zabbix 6.0.16
22 Wat is er nieuw in Zabbix 6.0.17
23 Wat is er nieuw in Zabbix 6.0.18
24 Wat is er nieuw in Zabbix 6.0.19
25 Wat is er nieuw in Zabbix 6.0.20
26 Wat is er nieuw in Zabbix 6.0.21
27 Wat is er nieuw in Zabbix 6.0.22
28 What's new in Zabbix 6.0.23
29 What's new in Zabbix 6.0.24
30 What's new in Zabbix 6.0.25
31 What's new in Zabbix 6.0.26
32 What's new in Zabbix 6.0.27
33 What's new in Zabbix 6.0.28
34 What's new in Zabbix 6.0.29
2. Definities
1 Hoge beschikbaarheid
2 Agent
3 Agent 2
4 Proxy
1 Instellen vanuit bronnen
2 Installatie vanaf RHEL pakketten
3 Setup vanuit Debian/Ubuntu-pakketten
6 Sender
7 Get
8 JS
9 Webservice
1 Getting Zabbix
1 PostgreSQL-plug-ins afhankelijkheden
2 MongoDB-plug-ins afhankelijkheden
2 Best practices voor veilige Zabbix-installatie
1 Zabbix-agent bouwen op Windows
2 Zabbix agent 2 bouwen op Windows
3 Zabbix-agent bouwen op macOS
1 Red Hat Enterprise Linux
2 Debian/Ubuntu/Raspbian
3 SUSE Linux Enterprise-server
4 Windows agent installatie van MSI
5 Mac OS-agentinstallatie vanaf PKG
6 Onstabiele releases
5 Installatie vanuit containers
1 Debian/Ubuntu frontend-installatie
1 Upgrade van sources
1 Red Hat Enterprise Linux
2 Debian/Ubuntu
1 Compilation issues
9 Wijzigingen in sjablonen
10 Upgrade notities voor 6.0.0
11 Upgrade-opmerkingen voor 6.0.1
12 Upgrade-opmerkingen voor 6.0.2
13 Upgrade-opmerkingen voor 6.0.3
14 Upgrade-opmerkingen voor 6.0.4
15 Upgrade-opmerkingen voor 6.0.5
16 Upgrade-opmerkingen voor 6.0.6
17 Upgrade-opmerkingen voor 6.0.7
18 Upgrade-opmerkingen voor 6.0.8
19 Upgrade-opmerkingen voor 6.0.9
20 Upgrade-opmerkingen voor 6.0.10
21 Upgrade notities voor 6.0.11
22 Upgrade-opmerkingen voor 6.0.12
23 Upgrade noties voor 6.0.13
24 Upgrade-opmerkingen voor 6.0.14
25 Upgrade-opmerkingen voor 6.0.15
26 Upgrade-opmerkingen voor 6.0.16
27 Upgrade-opmerkingen voor 6.0.17
28 Upgrade-opmerkingen voor 6.0.18
29 Upgrade-opmerkingen voor 6.0.19
30 Upgrade-opmerkingen voor 6.0.20
31 Upgrade-opmerkingen voor 6.0.21
32 Upgrade opmerkingen voor 6.0.22
33 Upgrade notes for 6.0.23
34 Upgrade notes for 6.0.24
35 Upgrade notes for 6.0.25
36 Upgrade notes for 6.0.26
37 Upgrade notes for 6.0.27
38 Upgrade notes for 6.0.28
39 Upgrade notes for 6.0.29
1 Inloggen en gebruiker configureren
2 Nieuwe host
3 Nieuw item
4 Nieuwe trigger
5 Probleemmelding ontvangen
6 Nieuw template
6. Zabbix appliance
1 Configuratie van een host
2 Inventaris
3 Massa update
1 Indeling van item-sleutel
2 Aangepaste intervallen
1 Gebruiksvoorbeelden
2 Voorverwerkingsdetails
1 Escapen van speciale tekens van LLD-macrowaarden in JSONPath
1 Extra JavaScript-objecten
5 CSV naar JSON voorverwerking
1 Specifieke objectsleutels voor agent 2
2 Windows-specifieke item sleutels
1 Dynamische indexen
2 Speciale OIDs
3 MIB bestanden
3 SNMP traps
4 IPMI-controles
1 VMware monitoring item sleutels
6 Logbestand monitoring
1 Geaggregeerde berekeningen
8 Interne controles
9 SSH controles
10 Telnet controles
11 Externe Controles
12 Trapper items
13 JMX bewaking
1 Aanbevolen UnixODBC instellingen voor MySQL
2 Aanbevolen UnixODBC instellingen voor PostgreSQL
3 Aanbevolen UnixODBC instellingen voor Oracle
4 Aanbevolen UnixODBC instellingen voor MSSQL
15 Afhankelijke items
16 HTTP agent
17 Prometheus controles
18 Script-items
4 Geschiedenis en trends
1 Zabbix-agents uitbreiden
6 Laadbare modules
7 Windows prestatietellers
8 Massa update
9 Waarde Mapping
10 Wachtrij
11 Waardecache
12 Nu uitvoeren
13 Controles van agenten beperken
1 Laadbare plugins bouwen
1 Een trigger configureren
2 Trigger-expressie
3 Trigger afhankelijkheden
4 Triggerniveaus
5 Aanpassen van trigger ernst
6 Massa-update
7 Voorspellende triggerfuncties
1 Trigger event genereren
2 Andere gebeurtenis bronnen
3 Handmatig sluiten van problemen
1 Op triggers gebaseerde gebeurteniscorrelatie
2 Global event correlation
6 Taggen
1 Simpele grafieken
2 Aangepaste grafieken
3 Ad-hocgrafieken
4 Aggregatie in grafieken
1 Een netwerk map configureren
2 Host group elements
3 Verbindingsindicatoren
3 Dashboards
4 Hostdashboards
1 Een sjabloon configureren
2 Koppelen/ontkoppelen
3 Nesting
4 Massa-update
3 HTTP-templatebewerking
4 IPMI-sjabloonbewerking
5 JMX sjablooneffectuering
7 Gestandaardiseerde sjablonen voor netwerkapparaten
ODBC Template Werking
Stappen voor correcte werking van Zabbix agent 2 templates
Stappen voor correcte werking van Zabbix agent templates
1 E-mail
2 SMS
3 Aangepaste waarschuwingsscripts
1 Webhook-scriptvoorbeelden
1 Voorwaarden
1 Bericht verzenden
2 Remote opdrachten
3 Extra operaties
4 Macro’s gebruiken in berichten
3 Hersteloperaties
4 Updatebewerkingen
5 Escalaties
3 Melding ontvangen over niet-ondersteunde items
1 Macrofuncties
2 Gebruikersmacro's
3 Gebruikersmacro's met context
4 Ontdekkingsmacro's op laag niveau
5 Expressiemacro's
1 Een gebruiker configureren
2 Machtigingen
3 Gebruikersgroepen
13 Opslag van geheimen
14 Geplande rapporten
1 Serviceoverzicht
2 Serviceacties
3 SLA
4 Installatievoorbeeld
1 Web monitoring items
2 Real-life scenario
1 Velden voor virtual machine ontdekkingsleutels
11 Onderhoud
12 Reguliere expressies
13. Probleemherkenning
1 Hostgroepen
2 Sjablonen
3 Hosts
4 Netwerk kaart
5 Media types
1 Een netwerkdetectieregel configureren
2 Automatische registratie van actieve agenten
1 Item-prototypen
2 Triggerprototypen
3 Grafiek-prototypen
4 Opmerkingen over low-level detectie
1 Ontdekking van gekoppelde bestandssystemen
2 Discovery of network interfaces
4 Ontdekking van SNMP OID's
5 Ontdekking van JMX-objecten
6 Ontdekking van IPMI-sensoren
7 Ontdekking van systemd-services
8 Ontdekking van Windows-services
9 Ontdekking van Windows-prestatiemeterinstanties
10 Ontdekking met behulp van WMI-query's
11 Ontdekking met behulp van ODBC SQL query's
12 Ontdekking met behulp van Prometheus-gegevens
13 Discovery of block devices
14 Discovery of host interfaces in Zabbix
Discovery of CPUs and CPU cores
6 Aangepaste LLD-regels
1 Proxies
1 Certificaten gebruiken
2 Gebruik van vooraf gedeelde sleutels
1 Verbindingstype of toestemmingsproblemen
2 Certificate problems
3 PSK-problemen
1 Menu
1 Actielogboek
2 Klok
3 Gegevensoverzicht
4 Ontdekkingsstatus
5 Favoriete grafieken
6 Favoriete kaarten
7 Geomap
8 Grafiek
9 Grafiek (klassiek)
10 Grafiek-prototype
11 Beschikbaarheid van hosts
12 Item waarde
13 Kaart
14 Kaart navigatieboom
15 Plain text
16 Probleemhosts
17 Problemen
18 Problemen volgens ernst
19 SLA rapport
20 Systeeminformatie
21 Top hosts
22 Triggeroverzicht
23 URL
24 Web monitoring
2 Problemen
1 Grafieken
2 Web scenarios
4 Laatste gegevens
5 Kaarten
6 Discovery
1 Services
2 Serviceacties
3 SLA
4 SLA rapport
1 Overzicht
2 Hosts
1 Systeeminformatie
2 Geplande rapporten
3 Beschikbaarheidsrapport
4 Triggers top 100
5 Audit
6 Actie logboek
7 Meldingen
1 Host groepen
1 Items
2 Triggers
3 Grafieken
1 item prototypes
2 Trigger-prototypes
3 Grafiek-prototypes
4 Host-prototypes
5 Webscenario's
1 Items
2 Triggers
3 Grafieken
1 item prototypes
2 Trigger-prototypes
3 Grafiek-prototypes
4 Host-prototypes
5 Webscenario's
4 Onderhoud
5 Acties
6 Correlatie van gebeurtenissen
7 Ontdekking
1 Algemeen
1 Proxies
3 Authenticatie
4 Gebruikersgroepen
5 Gebruikersrollen
6 Gebruikers
7 Mediatypen
8 Scripts
9 Wachtrij
1 Globale meldingen
2 Geluid in browsers
4 Globale zoekopdracht
5 Frontend-onderhoudsmodus
6 Paginaparameters
7 Definities
8 Aanmaken van eigen thema
9 Debug modus
10 Cookies gebruikt door Zabbix
11 Tijdzones
13 Wachtwoord opnieuw instellen
> Actie-object
actie.maken
actie.update
actie.verwijderen
action.get
> Afbeeldingsobject
afbeelding.update
afbeelding.verwijderen
image.create
image.get
apiinfo.versie
> Item prototype-object
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
> Auditlog-object
auditlog.get
> Authenticatie-object
authenticatie.get
authenticatie.update
> Autoregistratie-object
autoregistratie.get
autoregistratie.update
configuratie.export
configuratie.import
configuratie.importvergelijk
> Correlatie-object
correlatie.creëren
correlatie.delete
correlatie.get
correlatie.update
> Dashboard-object
1 Action log
2 Clock
3 Data overview
4 Discovery status
5 Favorite graphs
6 Favorite maps
7 Geomap
8 Graph
9 Graph (classic)
10 Graph prototype
11 Host availability
12 Item value
13 Map
14 Map navigation tree
15 Plain text
16 Problem hosts
17 Problems
18 Problems by severity
19 SLA report
20 System information
21 Top hosts
22 Trigger overview
23 URL
24 Web monitoring
dashboard.creëren
dashboard.get
dashboard.update
dashboard.verwijderen
> Gebeurtenisobject
event.acknowledge
event.get
> Host-groepsobject
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.update
> Host-object
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
> Gebruikersobject
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.unblock
user.update
> Gebruikersgroepsobject
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
> Gebruikersmacro-object
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> Geschiedenisobject
history.clear
history.get
> Grafiekobject
grafiek.creëren
grafiek.get
grafiek.update
grafiek.verwijderen
> Grafiek item-object
graphitem.get
> Grafiek prototype-object
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
> Hostinterface-object
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
> Host prototype object
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
> Actie-object
settings.get
settings.update
> Item-object
item.create
item.delete
item.get
item.update
> Kaartobject
kaart.update
map.create
map.delete
map.get
> LLD-regelobject
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> Mediatype-object
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
> Knooppuntobject met hoge beschikbaarheid
hanode.get
> Onderhoudsobject
maintenance.create
maintenance.delete
maintenance.get
onderhoud.update
> Service-object
service.create
service.delete
service.get
service.update
> Discovery-controleobject
dcheck.get
> Ontdekkingsregelobject
drule.create
drule.delete
drule.get
drule.update
> Serviceobject ontdekt
dservice.get
> Host-object ontdekt
dhost.get
> Pictogram kaartobject
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
> Probleemobject
problem.get
> Rapporteer object
report.create
report.delete
report.get
report.update
> Reguliere expressie-object
regexp.create
regexp.delete
regexp.get
regexp.update
> Rolobject
role.create
role.delete
role.get
role.update
> Host-object
housekeeping.update
huishouding.get
> Kaartobject
script.create
script.delete
script.execute
script.get
script.getscriptsbyhosts
script.update
> Rapporteer object
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
> Sjabloon dashboardobject
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
> SLA-object
sla.creëren
sla.get
sla.getsli
sla.update
sla.verwijderen
> Taakobject
task.create
task.get
> Token-object
token.create
token.delete
token.generate
token.get
token.update
> Trendobject
trend.get
> Trigger-object
trigger.adddependencies
trigger.create
trigger.deletedependencies
trigger.get
trigger.update
trigger.verwijderen
> Item prototype object
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
> Proxy-object
proxy.create
proxy.delete
proxy.get
proxy.update
> Waardekaartobject
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
> Waarschuwingsobject
alert.get
> Webscenario-object
httptest.create
httptest.delete
httptest.get
httptest.update
Bijlage 1. Referentie commentaar
Bijlage 2. Wijzigingen van 5.4 naar 6.0
Zabbix API-wijzigingen in 6.0
20 Modules
1 Database maken
2 Tekenset en sortering van Zabbix-database herstellen
3 Database-upgrade naar primaire sleutels
1 MySQL-coderingsconfiguratie
2 PostgreSQL-coderingsconfiguratie
5 TijdschaalDB-configuratie
6 Elasticsearch-configuratie
7 Realtime export van gebeurtenissen, itemwaarden, trends
8 Distributiespecifieke opmerkingen over het instellen van Nginx voor Zabbix
9 Zabbix-agent als root uitvoeren
10 Zabbix-agent op Microsoft Windows
11 SAML-configuratie met Okta
12 Oracle-database instellen
13 Geplande rapporten instellen
14 Extra frontendtalen
1 Zabbix server
2 Zabbix proxy
3 Zabbix agent (UNIX)
4 Zabbix-agent 2 (UNIX)
5 Zabbix agent (Windows)
6 Zabbix agent 2 (Windows)
1 Ceph plugin
2 Docker plugin
3 Memcached plugin
4 Modbus plugin
5 MongoDB plugin
6 MQTT plugin
7 MSSQL plugin
7 MySQL-plugin
8 Oracle plugin
9 PostgreSQL plugin
10 Redis plugin
11 Smart plugin
8 Zabbix Java-gateway
9 Zabbix web service
10 Inclusie
1 Server-proxy data-uitwisselingsprotocol
2 Zabbix-agent protocol
3 Zabbix agent 2-protocol
4 Header
4 Zabbix Agent 2-pluginprotocol
5 Zabbix-zenderprotocol
7 Protocol voor realtime export
1 Items supported by platform
2 vm.geheugen.grootte parameters
3 Passieve en Actieve agent controles
4 Trapper-items
5 Minimaal toestemmingsniveau voor Windows-agentitems
6 Codering van geretourneerde waarden
7 Ondersteuning voor grote bestanden
8 Sensor
9 Opmerkingen over memtype-parameter in proc.mem-items
10 Opmerkingen over het selecteren van processen in proc.mem en proc.num items
11 Implementatie details van net.tcp.service en net.udp.service checks
12 Onbereikbare/niet beschikbare hostinterface-instellingen
13 Controle op afstand van Zabbix-statistieken
14 Kerberos configureren met Zabbix
15 modbus.get-parameters
16 Aangepaste prestatie teller items aanmaken voor VMware
1 Foreach-functies
2 Bitwise-functies
3 Functies voor datum en tijd
4 Geschiedenisfuncties
5 Trendfuncties
6 Wiskundige functies
7 Operatorfuncties
8 Voorspellingsfuncties
9 String functions
1 Ondersteunde macro's
2 Gebruikersmacro's ondersteund door locatie
8 Eenheidssymbolen
9 Syntaxis van tijdsperiode
10 Commando-uitvoering
12 Database foutafhandeling
13 Versie compatibiliteit
13 Zabbix sender dynamische linkbibliotheek voor Windows
14 Python library for Zabbix API
14 Upgrade van servicemonitoring
15 Andere problemen
18 Escaping examples
Veelgestelde vragen en Probleemoplossing
Vergelijking tussen Agent en Agent 2
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

1 Certificaten gebruiken

Overzicht

Zabbix kan RSA-certificaten in PEM-indeling gebruiken, ondertekend door een openbare of in-house certificaatautoriteit (CA). Certificaatverificatie wordt uitgevoerd tegen een vooraf geconfigureerd CA-certificaat. Optioneel kunnen certificaat intrekkingslijsten (CRL) worden gebruikt. Elk Zabbix-component kan slechts één certificaat geconfigureerd hebben.

Voor meer informatie over het instellen en gebruiken van een interne CA, het genereren van certificaataanvragen en het ondertekenen ervan, en hoe u certificaten kunt intrekken, kunt u talrijke online how-to's vinden, bijvoorbeeld OpenSSL PKI Tutorial v1.1.

Overweeg en test zorgvuldig uw certificaatextensies - zie Beperkingen bij het gebruik van X.509 v3-certificaatextensies.

Certificaat configuratieparameters

Parameter Verplicht Beschrijving
TLSCAFile ja Volledig pad naar een bestand dat de certificaten van de hoogste niveau CA's bevat voor verificatie van peer-certificaten.
In het geval van een certificaatketen met meerdere leden moeten ze geordend zijn: certificaten van lagere niveau CA's eerst, gevolgd door certificaten van hogere niveau CA's.
Certificaten van meerdere CA's kunnen in één bestand worden opgenomen.
TLSCRLFile nee Volledig pad naar een bestand dat Certificate Revocation Lists bevat. Zie opmerkingen in Certificate Revocation Lists (CRL).
TLSCertFile ja Volledig pad naar een bestand dat het certificaat bevat (certificaatketen).
In het geval van een certificaatketen met meerdere leden moeten ze geordend zijn: server, proxy of agent certificaat eerst, gevolgd door certificaten van lagere niveau CA's en vervolgens certificaten van hogere niveau CA's.
TLSKeyFile ja Volledig pad naar een bestand dat de privésleutel bevat. Stel de toegangsrechten voor dit bestand in - het moet alleen leesbaar zijn door de Zabbix-gebruiker.
TLSServerCertIssuer nee Toegestane uitgever van servercertificaten.
TLSServerCertSubject nee Toegestaan onderwerp van servercertificaten.

Configuratie van het certificaat op de Zabbix-server

  1. Om peer-certificaten te verifiëren, moet de Zabbix-server toegang hebben tot een bestand met hun hoogste zelfondertekende root CA-certificaten. Als we bijvoorbeeld certificaten verwachten van twee onafhankelijke root CA's, kunnen we hun certificaten in een bestand zoals /home/zabbix/zabbix_ca_file plaatsen, zoals dit:

    Certificaat: Gegevens: Versie: 3 (0x2) Serienummer: 1 (0x1) Handtekening Algoritme: sha1WithRSAEncryption Uitgever: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA ... Onderwerp: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA Openbare sleutel informatie van het onderwerp: Openbare-sleutelalgoritme: rsaEncryption Openbare sleutel: (2048 bit) ... X509v3-extensies: X509v3-sleutelgebruik: kritiek Certificaat ondertekenen, CRL ondertekenen X509v3-basisbeperkingen: kritiek CA: WAAR ... -----BEGIN CERTIFICATE----- MIID2jCCAsKgAwIBAgIBATANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB .... 9wEzdN8uTrqoyU78gi12npLj08LegRKjb5hFTVmO -----END CERTIFICATE----- Certificaat: Gegevens: Versie: 3 (0x2) Serienummer: 1 (0x1) Handtekening Algoritme: sha1WithRSAEncryption Uitgever: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA ... Onderwerp: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA Openbare sleutel informatie van het onderwerp: Openbare-sleutelalgoritme: rsaEncryption Openbare sleutel: (2048 bit) .... X509v3-extensies: X509v3-sleutelgebruik: kritiek Certificaat ondertekenen, CRL ondertekenen X509v3-basisbeperkingen: kritiek CA: WAAR ....
    -----BEGIN CERTIFICATE----- MIID3DCCAsSgAwIBAgIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQB ... vdGNYoSfvu41GQAR5Vj5FnRJRzv5XQOZ3B6894GY1zY= -----END CERTIFICATE-----

  2. Plaats de certificaatketen van de Zabbix-server in een bestand, bijvoorbeeld /home/zabbix/zabbix_server.crt:

    Certificaat: Gegevens: Versie: 3 (0x2) Serienummer: 1 (0x1) Handtekening Algoritme: sha1WithRSAEncryption Uitgever: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA ... Onderwerp: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix server Openbare sleutel informatie van het onderwerp: Openbare-sleutelalgoritme: rsaEncryption Openbare sleutel: (2048 bit) ... X509v3-extensies: X509v3-sleutelgebruik: kritiek Digitale handtekening, sleutelversleuteling X509v3-basisbeperkingen: CA: ONWAAR ... -----BEGIN CERTIFICATE----- MIIECDCCAvCgAwIBAgIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixk ... h02u1GHiy46GI+xfR3LsPwFKlkTaaLaL/6aaoQ== -----END CERTIFICATE----- Certificaat: Gegevens: Versie: 3 (0x2) Serienummer: 2 (0x2) Handtekening Algoritme: sha1WithRSAEncryption Uitgever: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA ... Onderwerp: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA Openbare sleutel informatie van het onderwerp: Openbare-sleutelalgoritme: rsaEncryption Openbare sleutel: (2048 bit) ... X509v3-extensies: X509v3-sleutelgebruik: kritiek Certificaat ondertekenen, CRL ondertekenen X509v3-basisbeperkingen: kritiek CA: WAAR, pathlen: 0 ... -----BEGIN CERTIFICATE----- MIID4TCCAsmgAwIBAgIBAjANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB ... dyCeWnvL7u5sd6ffo8iRny0QzbHKmQt/wUtcVIvWXdMIFJM0Hw== -----END CERTIFICATE-----

Hier is het eerste certificaat van de Zabbix-server, gevolgd door het tussenliggende CA-certificaat.

Het gebruik van andere attributen dan de hierboven genoemde wordt afgeraden voor zowel client- als servercertificaten, omdat dit het certificeringsverificatieproces kan beïnvloeden. OpenSSL kan bijvoorbeeld falen om een versleutelde verbinding tot stand te brengen als X509v3 Extended Key Usage of Netscape Cert Type zijn ingesteld. Zie ook: Beperkingen bij het gebruik van X.509 v3-certificaatextensies.

  1. Plaats de privésleutel van de Zabbix-server in een bestand, bijvoorbeeld /home/zabbix/zabbix_server.key:

    -----BEGIN PRIVATE KEY----- MIIEwAIBADANBgkqhkiG9w0BAQEFAASCBKowggSmAgEAAoIBAQC9tIXIJoVnNXDl ... IJLkhbybBYEf47MLhffWa7XvZTY= -----END PRIVATE KEY-----

  2. Bewerk TLS-parameters in het configuratiebestand van de Zabbix-server als volgt:

    TLSCAFile=/home/zabbix/zabbix_ca_file TLSCertFile=/home/zabbix/zabbix_server.crt TLSKeyFile=/home/zabbix/zabbix_server.key

Configuratie van op certificaten gebaseerde versleuteling voor Zabbix-proxy

1. Bereid bestanden voor met top-level CA-certificaten, proxycertificaat (keten) en privésleutel zoals beschreven in Configuring certificate on Zabbix server. Bewerk de parameters TLSCAFile, TLSCertFile en TLSKeyFile in de proxyconfiguratie dienovereenkomstig.

2. Voor een actieve proxy bewerkt u de parameter TLSConnect:

TLSConnect=cert

Voor een passieve proxy bewerkt u de parameter TLSAccept:

TLSAccept=cert

3. Nu heeft u een minimale op certificaten gebaseerde proxyconfiguratie. U kunt de beveiliging van de proxy verbeteren door de parameters TLSServerCertIssuer en TLSServerCertSubject in te stellen (zie Restricting allowed certificate Issuer and Subject).

4. In het uiteindelijke proxyconfiguratiebestand kunnen de TLS-parameters er als volgt uitzien:

TLSConnect=cert
       TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix server,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSCertFile=/home/zabbix/zabbix_proxy.crt
       TLSKeyFile=/home/zabbix/zabbix_proxy.key

5. Configureer versleuteling voor deze proxy in de Zabbix frontend:

  • Ga naar: Administration → Proxies
  • Selecteer de proxy en ga naar het tabblad Encryption

In de onderstaande voorbeelden worden de Issuer- en Subject-velden ingevuld - zie Restricting allowed certificate Issuer and Subject waarom en hoe u deze velden moet gebruiken.

Voor een actieve proxy

proxy_active_cert.png

Voor een passieve proxy

proxy_passive_cert.png

Configuratie van op certificaten gebaseerde versleuteling voor Zabbix-agent

1. Bereid bestanden voor met top-level CA-certificaten, agentcertificaat (keten) en privésleutel zoals beschreven in Configuring certificate on Zabbix server. Bewerk de parameters TLSCAFile, TLSCertFile en TLSKeyFile in de agentconfiguratie dienovereenkomstig.

2. Voor actieve controles bewerkt u de parameter TLSConnect:

TLSConnect=cert

Voor passieve controles bewerkt u de parameter TLSAccept:

TLSAccept=cert

3. Nu heeft u een minimale op certificaten gebaseerde agentconfiguratie. U kunt de beveiliging van de agent verbeteren door de parameters TLSServerCertIssuer en TLSServerCertSubject in te stellen (zie Restricting allowed certificate Issuer and Subject).

4. In het uiteindelijke agentconfiguratiebestand kunnen de TLS-parameters er als volgt uitzien:

TLSConnect=cert
       TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSCertFile=/home/zabbix/zabbix_agentd.crt
       TLSKeyFile=/home/zabbix/zabbix_agentd.key

(Het voorbeeld gaat ervan uit dat de host wordt bewaakt via een proxy, vandaar het onderwerp van het proxycertificaat.)

5. Configureer versleuteling voor deze agent in de Zabbix frontend:

  • Ga naar: Configuration → Hosts
  • Selecteer de host en ga naar het tabblad Encryption

In het onderstaande voorbeeld zijn de Issuer- en Subject-velden ingevuld - zie Restricting allowed certificate Issuer and Subject waarom en hoe u deze velden moet gebruiken.

agent_config.png

Beperken van toegestane certificaatuitgever en onderwerp

Wanneer twee Zabbix-componenten (bijvoorbeeld server en agent) een TLS-verbinding tot stand brengen, controleren ze elkaars certificaten. Als een peer-certificaat is ondertekend door een vertrouwde CA (met vooraf geconfigureerd top-level certificaat in TLSCAFile), geldig is, niet is verlopen en enkele andere controles doorstaat, kan de communicatie doorgaan. De certificaatuitgever en het onderwerp worden in dit eenvoudigste geval niet gecontroleerd.

Hier is een risico - iedereen met een geldig certificaat kan zich voordoen als iemand anders (bijvoorbeeld een hostcertificaat kan worden gebruikt om zich voor te doen als server). Dit kan acceptabel zijn in kleine omgevingen waar certificaten worden ondertekend door een speciale interne CA en het risico op zich voordoen laag is.

Als je top-level CA wordt gebruikt voor het uitgeven van andere certificaten die niet door Zabbix moeten worden geaccepteerd of als je het risico van zich voordoen wilt verminderen, dan kun je toegestane certificaten beperken door hun uitgever en onderwerpsreeksen te specificeren.

Bijvoorbeeld, je kunt het volgende toevoegen aan de Zabbix proxy configuratiebestand:

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix server,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

Met deze instellingen zal een actieve proxy niet communiceren met een Zabbix-server waarvan het uitgever- of onderwerpsreeks verschilt van het certificaat. Een passieve proxy zal geen verzoeken van een dergelijke server accepteren.

Enkele opmerkingen over het overeenkomen van uitgever- of onderwerpsreeksen:

  1. Uitgever- en onderwerpsreeksen worden onafhankelijk gecontroleerd. Beide zijn optioneel.
  2. UTF-8 tekens zijn toegestaan.
  3. Een niet-gespecificeerde reeks betekent dat elke reeks wordt geaccepteerd.
  4. Rijen worden "as-is" vergeleken, ze moeten exact hetzelfde zijn om overeen te komen.
  5. Wildcards en reguliere expressies worden niet ondersteund bij het matchen.
  6. Alleen enkele vereisten uit RFC 4514 Lightweight Directory Access Protocol (LDAP): String Representation of Distinguished Names zijn geïmplementeerd:
    1. Ontsnappingstekens '"' (U+0022), '+' U+002B, ',' U+002C, ';' U+003B, '<' U+003C, '>' U+003E, '\' U+005C ergens in de reeks.
    2. Ontsnappingstekens spatie (' ' U+0020) of nummerteken ('#' U+0023) aan het begin van de reeks.
    3. Ontsnappingsteken spatie (' ' U+0020) aan het einde van de reeks.
  7. De match mislukt als een nul-teken (U+0000) wordt aangetroffen (RFC 4514 staat dit toe).
  8. Vereisten van RFC 4517 Lightweight Directory Access Protocol (LDAP): Syntaxes and Matching Rules en RFC 4518 Lightweight Directory Access Protocol (LDAP): Internationalized String Preparation worden niet ondersteund vanwege de hoeveelheid werk die vereist is.

De volgorde van velden in uitgever- en onderwerpsreeksen en opmaak zijn belangrijk! Zabbix volgt de aanbeveling van RFC 4514 en gebruikt de "omgekeerde" volgorde van velden.

De omgekeerde volgorde kan worden geïllustreerd met een voorbeeld:

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

Merk op dat het begint met een laag niveau (CN), doorgaat naar een middenniveau (OU, O) en eindigt met top-level (DC) velden.

OpenSSL toont standaard certificaatuitgever- en onderwerpsvelden in "normale" volgorde, afhankelijk van de gebruikte aanvullende opties:

$ openssl x509 -noout -in /home/zabbix/zabbix_proxy.crt -issuer -subject
       issuer= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Signing CA
       subject= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Zabbix proxy
       
       $ openssl x509 -noout -text -in /home/zabbix/zabbix_proxy.crt
       Certificate:
               ...
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
           ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix proxy

Hier beginnen de uitgever- en onderwerpsreeksen met top-level (DC) en eindigen ze met laag niveau (CN) veld, spaties en veldscheiders zijn afhankelijk van de gebruikte opties. Geen van deze waarden zal overeenkomen in de Issuer- en Subject-velden van Zabbix!

Om de juiste Issuer- en Subject-reeksen te krijgen die bruikbaar zijn in Zabbix, gebruik je OpenSSL met speciale opties (-nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname):

$ openssl x509 -noout -issuer -subject \
           -nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname \
           -in /home/zabbix/zabbix_proxy.crt
       issuer= CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       subject= CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

Nu zijn de reeks van tekenreeksen in omgekeerde volgorde, zijn de velden gescheiden door komma's en kunnen ze worden gebruikt in Zabbix configuratiebestanden en de frontend.

Beperkingen bij het gebruik van X.509 v3-certificaatextensies

  • Subject Alternative Name (subjectAltName)-extensie.
    Alternatieve onderwerpsnamen uit de subjectAltName-extensie (zoals IP-adres, e-mailadres) worden niet ondersteund door Zabbix. Alleen de waarde van het "Onderwerp" -veld kan worden gecontroleerd in Zabbix (zie Beperking van toegestane uitgevende instantie (Issuer) en onderwerp (Subject)).
    Als het certificaat de subjectAltName-extensie gebruikt, hangt het resultaat af van de specifieke combinatie van cryptotoolkits waar Zabbix-componenten mee zijn gecompileerd (het kan wel of niet werken, Zabbix kan weigeren dergelijke certificaten van peers te accepteren).
  • Uitgebreid sleutelgebruik (Extended Key Usage)-extensie.
    Als deze wordt gebruikt, zijn over het algemeen zowel clientAuth (TLS WWW-clientauthenticatie) als serverAuth (TLS WWW-serverauthenticatie) noodzakelijk.
    Bijvoorbeeld, bij passieve controles fungeert de Zabbix-agent als een TLS-server, dus moet serverAuth worden ingesteld in het agentcertificaat. Voor actieve controles moet het agentcertificaat clientAuth hebben ingesteld.
    GnuTLS geeft een waarschuwing bij een schending van het sleutelgebruik, maar staat communicatie toe.
  • Name Constraints-extensie.
    Niet alle cryptotoolkits ondersteunen dit. Deze extensie kan voorkomen dat Zabbix CA-certificaten laadt waarin dit gedeelte als kritiek is gemarkeerd (afhankelijk van de specifieke cryptotoolkit).

Certificaatverroepingslijsten (CRL)

Als een certificaat gecompromitteerd is, kan de CA het intrekken door het op te nemen in de CRL. CRL's kunnen worden geconfigureerd in de configuratiebestanden van de server, proxy en agent met behulp van de parameter TLSCRLFile. Bijvoorbeeld:

TLSCRLFile=/home/zabbix/zabbix_crl_file

waarbij zabbix_crl_file CRL's van meerdere CA's kan bevatten en er als volgt uit kan zien:

-----BEGIN X509 CRL-----
       MIIB/DCB5QIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixkARkWA2Nv
       ...
       treZeUPjb7LSmZ3K2hpbZN7SoOZcAoHQ3GWd9npuctg=
       -----END X509 CRL-----
       -----BEGIN X509 CRL-----
       MIIB+TCB4gIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQBGRYDY29t
       ...
       CAEebS2CND3ShBedZ8YSil59O6JvaDP61lR5lNs=
       -----END X509 CRL-----

Het CRL-bestand wordt alleen geladen bij het starten van Zabbix. Het bijwerken van CRL's vereist een herstart.

Als een Zabbix-component is gecompileerd met OpenSSL en CRL's worden gebruikt, moet elke top- en tussenliggende CA in de certificaatketens een overeenkomstige CRL hebben (deze kan leeg zijn) in het TLSCRLFile.

© 2001-2024 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy