Documentation

1. Структура руководства
2. Что такое Zabbix
3. Возможности Zabbix
4. Обзор Zabbix
5. Что нового в Zabbix 6.0.0
6. Что нового в Zabbix 6.0.1
7. Что нового в Zabbix 6.0.2
8. Что нового в Zabbix 6.0.3
9. Что нового в Zabbix 6.0.4
10. Что нового в Zabbix 6.0.5
11. Что нового в Zabbix 6.0.6
12. Что нового в Zabbix 6.0.7
13. Что нового в Zabbix 6.0.8
14. Что нового в Zabbix 6.0.9
15. Что нового в Zabbix 6.0.10
16. Что нового в Zabbix 6.0.11
17. Что нового в Zabbix 6.0.12
18. Что нового в Zabbix 6.0.13
19. Что нового в Zabbix 6.0.14
20. Что нового в Zabbix 6.0.15
21. Что нового в Zabbix 6.0.16
22. Что нового в Zabbix 6.0.17
23. Что нового в Zabbix 6.0.18
24. Что нового в Zabbix 6.0.19
25. Что нового в Zabbix 6.0.20
26. Что нового в Zabbix 6.0.21
27. Что нового в Zabbix 6.0.22
28. Что нового в Zabbix 6.0.23
29. Что нового в Zabbix 6.0.24
30. Что нового в Zabbix 6.0.25
31. Что нового в Zabbix 6.0.26
32. Что нового в Zabbix 6.0.27
33. Что нового в Zabbix 6.0.28
34. Что нового в Zabbix 6.0.29
2. Определения
1. Кластер высокой доступности
2. Агент
3. Агент 2
4. Прокси
1 Установка из исходных кодов
2 Установка из пакетов RHEL
3 Установка из пакетов Debian/Ubuntu
6. Sender
7. Get
8. JS
9. Веб-сервис
1. Получение Zabbix
1. Зависимости плагина PostgreSQL
2. Зависимости плагина MongoDB
2. Наилучшие практики для безопасной установки Zabbix
1. Сборка Zabbix агента на Windows
2. Сборка Zabbix агента 2 на Windows
3. Сборка Zabbix агента на macOS
1. Red Hat Enterprise Linux
2. Debian/Ubuntu/Raspbian
3. SUSE Linux Enterprise Server
4. Установка Windows агента из MSI
5. Установка агента на Mac OS из PKG
6. Нестабильные релизы
5. Установка из контейнеров
1. Установка веб-интерфейса на Debian/Ubuntu
1. Обновление из исходных кодов
1. Red Hat Enterprise Linux
2. Debian/Ubuntu
1. Проблемы при компиляции
9. Изменения в шаблонах
10. Заметки по обновлению для 6.0.0
11. Заметки по обновлению для 6.0.1
12. Заметки по обновлению для 6.0.2
13. Заметки по обновлению для 6.0.3
14. Заметки по обновлению для 6.0.4
15. Заметки по обновлению для 6.0.5
16. Заметки по обновлению для 6.0.6
17. Заметки по обновлению для 6.0.7
18. Заметки по обновлению для 6.0.8
19. Заметки по обновлению для 6.0.9
20. Заметки по обновлению для 6.0.10
21. Заметки по обновлению для 6.0.11
22. Заметки по обновлению для 6.0.12
23. Заметки по обновлению для 6.0.13
24. Заметки по обновлению для 6.0.14
25. Заметки по обновлению для 6.0.15
26. Заметки по обновлению для 6.0.16
27. Заметки по обновлению для 6.0.17
28. Заметки по обновлению для 6.0.18
29. Заметки по обновлению для 6.0.19
30. Заметки по обновлению для 6.0.20
31. Заметки по обновлению для 6.0.21
32. Заметки по обновлению для 6.0.22
33. Заметки по обновлению для 6.0.23
34. Заметки по обновлению для 6.0.24
35. Заметки по обновлению для 6.0.25
36. Заметки по обновлению для 6.0.26
37. Заметки по обновлению для 6.0.27
38. Заметки по обновлению для 6.0.28
39. Заметки по обновлению для 6.0.29
1. Вход и настройка пользователя
2. Новый узел сети
3. Новый элемент данных
4. Новый триггер
5. Получение оповещения о проблеме
6. Новый шаблон
6. Готовое решение Zabbix
1. Настройка узла сети
2. Инвентаризация
3. Массовое обновление
1. Формат ключа элемента данных
2. Пользовательские интервалы
1 Примеры использования
2 Детали предобработки значений элементов данных
1 Экранирование спецсимволов из значений LLD макросов в JSONPath
1 Дополнительные объекты Javascript
5 Предобработка CSV в JSON
1 Специфичные ключи элементов данных для агента 2
2 Специфичные ключи элементов данных для Windows
1 Динамические индексы
2 Специальные OID'ы
3 MIB файлы
3 SNMP трапы
4 Проверки IPMI
1 Ключи элементов данных для мониторинга VMware
6 Мониторинг файлов журналов
1 Агрегированные вычисления
8 Внутренние проверки
9 Проверки через SSH
10 Проверки через Telnet
11 Внешние проверки
12 Траппер элементы данных
13 JMX мониторинг
1 Рекомендуемые настройки UnixODBC для MySQL
2 Рекомендуемые настройки UnixODBC для PostgreSQL
3 Рекомендуемые настройки UnixODBC для Oracle
4 Рекомендуемые настройки UnixODBC для MSSQL
15 Зависимые элементы данных
16 HTTP агент
17 Проверки Prometheus
18 Скриптовые элементы данных
4 История и динамика изменений
1 Расширение Zabbix агентов
6 Подгружаемые модули
7 Счетчики производительности Windows
8 Массовое обновление
9 Преобразование значений
10 Очередь
11 Кэш значений
12 Выполнить сейчас
13 Ограничение проверок агента
1 Создание подгружаемых плагинов
1 Настройка триггера
2 Выражение триггера
3 Зависимости триггеров
4 Важность триггеров
5 Пользовательские важности триггеров
6 Массовое обновление
7 Прогнозирующие функции триггеров
1 Генерация событий на триггеры
2 Другие источники событий
3 Закрытие проблем вручную
1 Корреляция событий на основе триггеров
2 Глобальная корреляция событий
6 Тегирование
1 Простые графики
2 Пользовательские графики
3 Ситуационные графики
4 Агрегирование на графиках
1 Настройка карты сети
2 Элементы групп узлов сети
3 Индикаторы связей
3 Панели
4 Панели узлов сети
1 Настройка шаблона
2 Присоединение/отсоединение
3 Наследование
4 Массовое обновление
1 Работа с Zabbix агент шаблонами
2 Работа с Zabbix агент 2 шаблонами
3 Работа с HTTP шаблонами
4 Работа с IPMI шаблонами
5 Работа с JMX шаблонами
6 Работа с ODBC шаблонами
7 Унифицированные шаблоны для сетевых устройств
1 E-mail
2 SMS
3 Пользовательские скрипты оповещений
1 Примеры скриптов вебхуков
1 Условия
1 Отправка сообщений
2 Удалённые команды
3 Дополнительные операции
4 Использование макросов в сообщениях
3 Операции восстановления
4 Операции обновления
5 Эскалации
3 Получение оповещений о неподдерживаемых элементах данных
1 Функции макросов
2 Пользовательские макросы
3 Пользовательские макросы с контекстом
4 Макросы низкоуровневого обнаружения
5 Макросы выражений
1 Настройка пользователя
2 Права доступа
3 Группы пользователей
13 Хранение секретов
14 Регулярные отчёты
1 Дерево услуг
2 Действия на услуги
3 SLA
4 Пример настройки
1 Элементы данных веб-мониторинга
2 Сценарий из реальной жизни
1 Поля ключей обнаружения виртуальных машин
11. Обслуживание
12. Регулярные выражения
13. Подтверждение проблем
1 Группы узлов сети
2 Шаблоны
3 Узлы сети
4 Карты сети
5 Способы оповещений
1 Настройка правила сетевого обнаружения
2 Авторегистрация активных агентов
1 Прототипы элементов данных
2 Прототипы триггеров
3 Прототипы графиков
4 Заметки по низкоуровневому обнаружению
1 Обнаружение примонтированных файловых систем
2 Обнаружение сетевых интерфейсов
3 Обнаружение CPU и ядер CPU
4 Обнаружение SNMP OID-ов
5 Обнаружение JMX объектов
6 Обнаружение датчиков IPMI
7 Обнаружение служб systemd
8 Обнаружение служб Windows
9 Обнаружение экземпляров счётчиков производительности Windows
10 Обнаружение с использованием запросов WMI
11 Обнаружение с использованием запросов ODBC SQL
12 Обнаружение с использованием данных Prometheus
13 Обнаружение блочных устройств
14 Обнаружение интерфейсов узлов сети в Zabbix
6 Пользовательские правила LLD
1 Прокси
1 Использование сертификатов
2 Использование общих ключей (pre-shared keys)
1 Проблемы с типом подключения или правами
2 Проблемы с сертификатами
3 Проблемы с PSK
1. Меню
1. Журнал действий
2. Часы
3. Обзор данных
4. Состояние обнаружения
5. Избранные графики
6. Избранные карты
7. Геокарта
8. График
9. График (классический)
10. Прототип графиков
11. Доступность узла сети
12. Значение элемента данных
13. Карта сети
14. Дерево навигации карт сетей
15. Простой текст
16. Узлы сети с проблемами
17. Проблемы
18. Проблемы по важности
19. SLA отчёт
20. Информация о системе
21. Топ узлов сети
22. Обзор триггеров
23. URL
24. Веб-мониторинг
2. Проблемы
1. Графики
2. Веб-сценарии
4. Последние данные
5. Карты сетей
6. Обнаружение
1. Услуги
2. Действия на услуги
3. SLA
4. SLA отчёт
1. Обзор
2. Узлы сети
1. Информация о системе
2. Регулярные отчёты
3. Отчёт о доступности
4. 100 наиболее загруженных триггеров
5. Аудит
6. Журнал действий
7. Оповещения
1. Группы узлов сети
1. Элементы данных
2. Триггеры
3. Графики
1. Прототипы элементов данных
2. Прототипы триггеров
3. Прототипы графиков
4. Прототипы узлов сети
5. Веб-сценарии
1. Элементы данных
2. Триггеры
3. Графики
1. Прототипы элементов данных
2. Прототипы триггеров
3. Прототипы графиков
4. Прототипы узлов сети
5. Веб-сценарии
4. Обслуживание
5. Действия
6. Корреляция событий
7. Обнаружение
1. Общие
2. Прокси
3. Аутентификация
4. Группы пользователей
5. Роли пользователей
6. Пользователи
7. Способы оповещений
8. Скрипты
9. Очередь
1. Глобальные оповещения
2. Звук в браузерах
4. Глобальный поиск
5. Режим обслуживания веб-интерфейса
6. Параметры страницы
7. Определения
8. Создание своей собственной темы
9. Режим отладки
10. Файлы сookie, используемые Zabbix
11. Часовые пояса
12. Сброс пароля
> Объект alert
alert.get
apiinfo.version
> Housekeeping object
housekeeping.get
housekeeping.update
> Объект регулярного выражения
regexp.create
regexp.delete
regexp.get
regexp.update
> Объект отчёта
report.create
report.delete
report.get
report.update
> Settings object
settings.get
settings.update
> SLA object
sla.create
sla.delete
sla.get
sla.getsli
sla.update
> Объект панели шаблона
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
> Объект токена
token.create
token.delete
token.generate
token.get
token.update
> Объект пользователя
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.unblock
user.update
> Authentication object
autoregistration.get
autoregistration.update
> Authentication object
authentication.get
authentication.update
> Объект веб-сценария
httptest.create
httptest.delete
httptest.get
httptest.update
> Объект графика
graph.create
graph.delete
graph.get
graph.update
> Объект группы пользователей
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
> Объект группы узлов сети
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.update
> Объект действия
action.create
action.delete
action.get
action.update
> Объект динамики изменений
trend.get
> Audit log object
auditlog.get
> Task object
task.create
task.get
> Объект изображения
image.create
image.delete
image.get
image.update
> Объект
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
> Объект истории
history.clear
history.get
> Объект карты
map.create
map.delete
map.get
map.update
configuration.export
configuration.import
configuration.importcompare
> Объект корреляции
correlation.create
correlation.delete
correlation.get
correlation.update
> Объект обнаруженного сервиса
dservice.get
> Объект обнаруженный узел сети
dhost.get
> Объект обслуживания
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
> Объект панели
1 Action log
2 Clock
3 Обзор данных
4 Discovery status
5 Favorite graphs
6 Favorite maps
7 Geomap
8 Graph
9 Graph (classic)
10 Graph prototype
11 Host availability
12 Item value
13 Map
14 Map navigation tree
15 Plain text
16 Problem hosts
17 Problems
18 Problems by severity
19 SLA report
20 System information
21. Топ узлов сети
22 Trigger overview
23 URL
24 Web monitoring
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
> Объект пользовательского макроса
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> Объект правила LLD
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> Объект правила обнаружения
drule.create
drule.delete
drule.get
drule.update
> Объект преобразования значений
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
> Объект проблемы
problem.get
> Объект проверки обнаружения
dcheck.get
> Объект прокси
proxy.create
proxy.delete
proxy.get
proxy.update
> Объект прототипа графика
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
> Объект прототипа триггеров
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
> Объект прототипа узла сети
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
> Объект прототипа элемента данных
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
> Объект роли
role.create
role.delete
role.get
role.update
> Объект скрипта
script.create
script.delete
script.execute
script.get
script.getscriptsbyhosts
script.update
> Объект события
event.acknowledge
event.get
> Объект соответствия иконок
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
> Объект способа оповещения
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
> Объект триггера
trigger.adddependencies
trigger.create
trigger.delete
trigger.deletedependencies
trigger.get
trigger.update
> Объект узла высокой доступности
hanode.get
> Объект узла сети
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
> Объект услуги
service.create
service.delete
service.get
service.update
> Объект шаблона
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
> Объект элемента графика
graphitem.get
> Объект элемента данных
item.create
item.delete
item.get
item.update
Изменения в API Zabbix 6.0
Приложение 1. Справочные комментарии
Приложение 2. Изменения с 5.4 на 6.0
20. Модули
1. Часто задаваемые вопросы / Решение проблем
1 Создание базы данных
2 Восстановление набора символов и сопоставления базы данных Zabbix
3 Обновление базы данных для использования первичных ключей
1 Настройка шифрования для MySQL
2 Настройка шифрования для PostgreSQL
5 Настройка TimescaleDB
6 Настройка Elasticsearch
7 Экспорт событий, значений и динамики изменений в режиме реального времени
8 Примечания по настройке Nginx для Zabbix на различных дистрибутивах
9 Запуск агента от имени root
10 Zabbix агент на Microsoft Windows
11 Настройка SAML с Okta
12 Настройка базы данных Oracle
13 Настройка отчётов по расписанию
14 Дополнительные языки веб-интерфейса
1 Zabbix сервер
2 Zabbix прокси
3 Zabbix агент (UNIX)
4 Zabbix агент 2 (UNIX)
5 Zabbix агент (Windows)
6 Zabbix агент 2 (Windows)
1. Плагин Ceph
2. Плагин Docker
3. Плагин Memcached
4. Плагин Modbus
5. Плагин MongoDB
6. Плагин MQTT
7. Плагин MSSQL
8. Плагин MySQL
9. Плагин Oracle
10. Плагин PostgreSQL
11. Плагин Redis
12. Плагин Smart
8 Zabbix Java gateway
9 Zabbix веб-сервис
10 Включение
1. Протокол обмена данными сервер-прокси
2. Протокол Zabbix агента
3. Протокол Zabbix агента 2
4. Протокол плагина Zabbix Агента 2
5. Протокол Zabbix sender
6. Заголовок
7. Протокол экспорта в режиме реального времени
1. Поддерживаемые элементы данных по платформам
2. Параметры vm.memory.size
3. Пассивные и активные проверки агента
4. Траппер элементы данных
5. Минимальный уровень прав для элементов данных агента Windows
6. Кодировка получаемых значений
7. Поддержка больших файлов
8. Датчики
9. Заметки о параметре «тип памяти» в элементах данных proc.mem
10. Заметки по выбору процессов в элементах данных proc.mem и proc.num
11. Подробности реализации проверок net.tcp.service и net.udp.service
12. Настройки недостижимости/недоступности интерфейса узла сети
13. Удалённый мониторинг статистики Zabbix
14. Настройка Kerberos с Zabbix
15. Параметры modbus.get
16. Создание пользовательских имен счётчиков производительности для VMware
1. Функции foreach
2. Побитовые функции
3. Функции даты и времени
4. Функции истории
5. Функции динамики изменений
6. Математические функции
7. Операторные функции
8. Функции прогнозирования
9. Строковые функции
1. Поддерживаемые макросы
2. Пользовательские макросы, поддерживаемые по местоположению
8. Символы единиц измерения
9. Настройка периодов времени
10. Выполнение команд
11. Совместимость версий
12. Обработка ошибок базы данных
13. Динамическая библиотека Zabbix sender для Windows
14. Библиотека Python для Zabbix API
15. Обновление мониторинга услуг
16. Другие проблемы
17. Отличия между Zabbix агентом и Zabbix агентом 2
18. Примеры экранирования
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

1 Использование сертификатов

Обзор

Zabbix может использовать RSA сертификаты в формате PEM, подписанные публичным или внутренним центром сертификации (certificate authority, CA). Проверка сертификата выполняется с использованием заранее подготовленного сертификата CA. Опционально можно использовать списки отзывов сертификатов (CRL). Каждый компонент Zabbix может иметь только один настроенный сертификат.

Для получения более подробной информации о том, как настроить и управлять внутренним CA, как генерировать запросы на сертификаты и подписывать их, как отзывать сертификаты, - всё это вы можете найти в большом количестве различных руководств в сети, например, OpenSSL PKI Tutorial v1.1 [en] .

Тщательно продумывайте и тестируйте ваши расширения сертификатов - смотри Ограничения при использовании расширений X.509 v3 сертификатов.

Параметры настройки сертификатов

Параметр Обязателен Описание
TLSCAFile да Абсолютный путь к файлу, который содержит сертификаты CA верхнего уровня для верификации сертификата узла.
При наличии цепочки сертификатов с несколькими членами, они должны быть упорядочены: сначала сертификаты CA нижнего уровня, за ними следуют сертификаты CA более высокого уровня.
Сертификаты из нескольких CA можно включать в один файл.
TLSCRLFile нет Абсолютный путь к файлу, который содержит списки отозванных сертификатов. Смотрите примечания в Списки отозванных сертификатов (CRL).
TLSCertFile да Абсолютный путь к файлу, который содержит сертификат (цепочку сертификатов).
В случае цепочки сертификатов с несколькими членами они должны быть упорядочены: сначала сертификат сервера, прокси или агента, затем сертификаты CA нижнего уровня и затем сертификаты CA более высокого уровня.
TLSKeyFile да Абсолютный путь к файлу, который содержит закрытый ключ (private key). Задайте права доступа к этому файлу - он должен быть доступен для чтения только пользователю Zabbix.
TLSServerCertIssuer нет Разрешённый эмитент сертификата сервера.
TLSServerCertSubject нет Разрешённый субъект сертификата сервера.

Настройка сертификата на Zabbix сервере

1. Для того, чтобы проверять сертификаты хостов, Zabbix сервер должен иметь доступ к файлу с самоподписными сертификатами их корневого CA верхнего уровня. Например, если мы ожидаем сертификаты от двух независимых корневых CA, мы можем поместить их сертификаты в файл /home/zabbix/zabbix_ca_file, примерно следующим образом:

Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
                   ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE
                   ...
       -----BEGIN CERTIFICATE-----
       MIID2jCCAsKgAwIBAgIBATANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB
       ....
       9wEzdN8uTrqoyU78gi12npLj08LegRKjb5hFTVmO
       -----END CERTIFICATE-----
       Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA
                   ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ....
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE
                   ....       
       -----BEGIN CERTIFICATE-----
       MIID3DCCAsSgAwIBAgIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQB
       ...
       vdGNYoSfvu41GQAR5Vj5FnRJRzv5XQOZ3B6894GY1zY=
       -----END CERTIFICATE-----

2. Поместите цепочку сертификатов Zabbix сервера в файл, например, /home/zabbix/zabbix_server.crt:

Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
               ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix server
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                       ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Digital Signature, Key Encipherment
                   X509v3 Basic Constraints: 
                       CA:FALSE
                   ...
       -----BEGIN CERTIFICATE-----
       MIIECDCCAvCgAwIBAgIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixk
       ...
       h02u1GHiy46GI+xfR3LsPwFKlkTaaLaL/6aaoQ==
       -----END CERTIFICATE-----
       Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 2 (0x2)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
               ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE, pathlen:0
               ...
       -----BEGIN CERTIFICATE-----
       MIID4TCCAsmgAwIBAgIBAjANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB
       ...
       dyCeWnvL7u5sd6ffo8iRny0QzbHKmQt/wUtcVIvWXdMIFJM0Hw==
       -----END CERTIFICATE-----

Здесь первым является сертификат Zabbix сервера, за ним сертификат промежуточного CA.

Использование каких-либо атрибутов, кроме упомянутых выше, не рекомендуется как для клиентских, так и для серверных сертификатов, поскольку это может повлиять на процесс проверки сертификата. Например, OpenSSL может не установить зашифрованное соединение, если выставлены Расширенное использование ключа X509v3 (X509v3 Extended Key Usage) или Тип сертификата Netscape (Netscape Cert Type). Смотрите также: Ограничения при использовании расширений X.509 v3 сертификатов.

3. Поместите закрытый ключ Zabbix сервера в файл, например, /home/zabbix/zabbix_server.key:

-----BEGIN PRIVATE KEY-----
       MIIEwAIBADANBgkqhkiG9w0BAQEFAASCBKowggSmAgEAAoIBAQC9tIXIJoVnNXDl
       ...
       IJLkhbybBYEf47MLhffWa7XvZTY=
       -----END PRIVATE KEY-----

4. Измените параметры TLS в файле конфигурации Zabbix сервера, примерно так:

TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSCertFile=/home/zabbix/zabbix_server.crt
       TLSKeyFile=/home/zabbix/zabbix_server.key

Настройка шифрования на основе сертификата для Zabbix прокси

1. Подготовьте файлы с сертификатами CA верхнего уровня, сертификатом (цепочкой) прокси и закрытым ключом, как описано в Настройке сертификата на Zabbix сервере. Измените параметры TLSCAFile, TLSCertFile, TLSKeyFile в файле конфигурации прокси соответственно.

2. Для активного прокси измените параметрTLSConnect:

TLSConnect=cert

Для пассивного прокси измените параметр TLSAccept:

TLSAccept=cert

3. Теперь у вас есть минимальная настройка прокси на основе сертификата. Вы, возможно, захотите улучшить безопасность прокси, указав параметры TLSServerCertIssuer и TLSServerCertSubject (смотри Ограничение разрешённых Эмитента и Субъекта сертификата).

4. В конечном итоге параметры TLS в файле конфигурации прокси могут выглядеть следующим образом:

TLSConnect=cert
       TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix server,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSCertFile=/home/zabbix/zabbix_proxy.crt
       TLSKeyFile=/home/zabbix/zabbix_proxy.key

5. Настройте шифрование для этого прокси в веб-интерфейсе Zabbix:

  • Перейдите к: Администрирование → Прокси
  • Выберите прокси и нажмите на вкладку Шифрование

В примере ниже поля Эмитент и Субъект заполнены - смотрите Ограничение разрешённых Эмитента и Субъекта сертификата о том, зачем и как использовать эти поля.

Для активного прокси

proxy_active_cert.png

Для пассивного прокси

proxy_passive_cert.png

Настройка шифрования на основе сертификата для Zabbix агента

1. Подготовьте файлы с сертификатами CA верхнего уровня, сертификатом (цепочкой) агента и закрытым ключом, как описано в Настройке сертификата на Zabbix сервере. Измените параметры TLSCAFile, TLSCertFile, TLSKeyFile в файле конфигурации агента соответственно.

2. При активных проверках измените параметр TLSConnect:

TLSConnect=cert

При пассивных проверках измените параметр TLSAccept:

TLSAccept=cert

3. Теперь у вас есть минимальная настройка агента на основе сертификата. Возможно, вы захотите улучшить безопасность агента, указав параметры TLSServerCertIssuer и TLSServerCertSubject(смотри Ограничение разрешённых Эмитента и Субъекта сертификата).

4. В конечном итоге параметры TLS в файле конфигурации агента могут выглядеть следующим образом:

TLSConnect=cert
       TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSCertFile=/home/zabbix/zabbix_agentd.crt
       TLSKeyFile=/home/zabbix/zabbix_agentd.key

(Пример предполагает, что хост наблюдается через прокси, отсюда Субъект сертификата прокси.)

5. Настройте шифрование для этого агента в веб-интерфейсе Zabbix:

  • Перейдите к: Настройка → Узлы сети
  • Выберите узел сети и нажмите на вкладку Шифрование

В примере ниже поля Эмитент и Субъект заполнены - смотрите Ограничение разрешённых Эмитента и Субъекта сертификата о том, как использовать эти поля.

agent_config.png

Ограничение разрешённых Эмитента и Субъекта сертификата

Когда два компонента Zabbix (например, сервер и агент) устанавливают TLS соединение, они оба проверяют сертификаты друг друга. Если сертификат узла подписан доверенным CA (с предварительно подготовленным сертификатом верхнего уровня в TLSCAFile), является действительным, он не истёк и проходит некоторые другие проверки, тогда коммуникация может продолжаться. Эмитент и субъект сертификата в этом простейшем случае не проверяются.

Здесь имеется риск - кто-угодно при наличии действительного сертификата может выдавать себя за другого (например, сертификат хоста можно использовать, чтобы выдавать себя за сервер). Такое поведение может быть приемлемо в небольших средах, где сертификаты подписываются выделенным внутренним CA и риск действий от чужого имени является минимальным.

Если ваш CA верхнего уровня используется для выдачи других сертификатов, которые не должны приниматься Zabbix, или вы хотите снизить риск действий от чужого имени, вы можете ограничить разрешённые сертификаты, указав их строки Эмитента и Субъекта.

Например, вы можете записать в файл конфигурации Zabbix прокси:

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix server,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

При наличии этих настроек активный прокси не будет разговаривать с Zabbix сервером с другими строками Эмитента и Субъекта в сертификате, пассивный прокси не примет запросы от такого сервера.

Несколько замечаний о соответствии строк Эмитента и Субъекта:

  1. Строки Эмитента и Субъекта проверяются независимо. Обе строки опциональны.
  2. Допустимы символы UTF-8.
  3. Неуказанная строка означает, что принимается любая строка.
  4. Строки сравниваются «как-есть», они должны в точности совпадать.
  5. Шаблоны и регулярные выражения при проверке соответствия не поддерживаются.
  6. Реализованы только некоторые требования из RFC 4514 Lightweight Directory Access Protocol (LDAP): String Representation of Distinguished Names [en]:
    1. управляющие символы '"' (U+0022), '+' U+002B, ',' U+002C, ';' U+003B, '<' U+003C, '>' U+003E, '\' U+005C в любом месте в строке.
    2. управляющие символы пробела (' ' U+0020) или символ решётки ('#' U+0023) в начале строки.
    3. управляющий символ пробела (' ' U+0020) в конце строки.
  7. Совпадения не будет, если встречается нулевой символ (U+0000) (RFC 4514 [en] позволяет это).
  8. Требования RFC 4517 Lightweight Directory Access Protocol (LDAP): Syntaxes and Matching Rules [en] и RFC 4518 Lightweight Directory Access Protocol (LDAP): Internationalized String Preparation [en] не поддерживаются по причине необходимого объёма работы.

Очерёдность полей в строках Эмитента и Субъекта и форматирование важны! Zabbix следует рекомендации RFC 4514 [en] и использует «обратный» порядок этих полей.

Обратный порядок можно продемонстрировать примером:

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

Обратите внимание, что он начинается с нижнего уровня (CN), переходит к среднему уровню (OU, O) и заканчивается полями верхнего уровня (DC).

По умолчанию OpenSSL отображает поля Эмитент и Субъект сертификата в «нормальном» порядке, в зависимости от использованных дополнительных опций:

$ openssl x509 -noout -in /home/zabbix/zabbix_proxy.crt -issuer -subject
       issuer= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Signing CA
       subject= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Zabbix proxy
       
       $ openssl x509 -noout -text -in /home/zabbix/zabbix_proxy.crt
       Certificate:
               ...
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
           ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix proxy

Здесь строки Эмитента и Субъекта начинаются с верхнего уровня (DC) и заканчиваются полем нижнего уровня (CN), пробелы и разделители полей зависят от используемых опций. Ни одно из этих значений не будет совпадать в Zabbix полях Эмитента и Субъекта!

Для получения надлежащих строк Эмитента и Субъекта, допустмых в Zabbix, вызовите OpenSSL со специальными опциями
(-nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname):

$ openssl x509 -noout -issuer -subject \
               -nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname \
               -in /home/zabbix/zabbix_proxy.crt
       issuer= CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       subject= CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

Теперь строковые поля находятся в обратном порядке, поля разделены запятой, строки можно использовать в файлах конфигурации и в веб-интерфейсе Zabbix.

Ограничения при использовании расширений X.509 v3 сертификатов

  • Расширение Альтернативное имя субъекта (Subject Alternative Name, subjectAltName).
    Альтернативные имена субъектов из расширения subjectAltName (такие как IP адрес, e-mail адрес) не поддерживаются Zabbix. В Zabbix проверяется только значение поля "Субъект" (смотри Ограничение разрешённых Эмитента и Субъекта сертификата).
    Если сертификат использует расширение subjectAltName, тогда результат зависит от конкретной комбинации наборов инструментов криптографии, с которыми скомпилированы компоненты Zabbix (это расширение может работать, а может и не работать, Zabbix может отказаться принимать такие сертификаты от узлов).
  • Расширение Использование Расширенного Ключа (Extended Key Usage) .
    Если используется, то, как правило, необходимо указывать как clientAuth (TLS WWW аутентификация клиента), так и serverAuth (TLS WWW аутентификация сервера).
    Например, при пассивных проверках Zabbix агент выступает в роли TLS сервера, поэтому необходимо указать serverAuth в сертификате агента. При активных проверках в сертификате агента необходимо задать clientAuth.
    GnuTLS выводит предупреждение в случае нарушения использования ключа, но разрешает продолжение соединения.
  • Расширение Ограничения Имени. (Name Constraints).
    Не все наборы инструментов криптографии поддерживают его. Это расширение может помешать Zabbix в загрузке сертификатов CA, где этот раздел промаркирован как критический (зависит от конкретного набора инструментов криптографии).

Списки отозванных сертификатов (CRL)

Если сертификат скомпрометирован, CA может отозвать его, включив в CRL. Списки CRL можно настраивать в файлах конфигурации сервера, прокси и агента, используя параметр TLSCRLFile. Например::

TLSCRLFile=/home/zabbix/zabbix_crl_file

где zabbix_crl_file может содержать списки CRL от нескольких CA и может выглядеть следующим образом:

-----BEGIN X509 CRL-----
       MIIB/DCB5QIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixkARkWA2Nv
       ...
       treZeUPjb7LSmZ3K2hpbZN7SoOZcAoHQ3GWd9npuctg=
       -----END X509 CRL-----
       -----BEGIN X509 CRL-----
       MIIB+TCB4gIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQBGRYDY29t
       ...
       CAEebS2CND3ShBedZ8YSil59O6JvaDP61lR5lNs=
       -----END X509 CRL-----

CRL файл загружается только при запуске Zabbix. При обновлении CRL требуется перезапуск.

Если компонент Zabbix скомпилирован с OpenSSL и используются списки CRL, тогда каждый CA верхнего и промежуточного уровней в цепочках сертификатов должен иметь соответствующий список CRL (может быть пустым) в TLSCRLFile.

© 2001-2024 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy