Documentation

1 Handmatige structuur
2 Wat is Zabbix
3 Zabbix-functies
4 Zabbix overzicht
5 Wat is er nieuw in Zabbix 6.4.0
6 Wat is er nieuw in Zabbix 6.4.1
7 Wat is er nieuw in Zabbix 6.4.2
8 Wat is er nieuw in Zabbix 6.4.3
9 Wat is er nieuw in Zabbix 6.4.4
10 Wat is er nieuw in Zabbix 6.4.5
11 Wat is er nieuw in Zabbix 6.4.6
12 Wat is er nieuw in Zabbix 6.4.7
13 What's new in Zabbix 6.4.8
14 What's new in Zabbix 6.4.9
15 What's new in Zabbix 6.4.10
16 What's new in Zabbix 6.4.11
17 What's new in Zabbix 6.4.12
18 What's new in Zabbix 6.4.13
19 What's new in Zabbix 6.4.14
2. Definities
1 Hoge beschikbaarheid
2 Agent
3 Agent 2
4 Proxy
1 Instellen vanuit bronnen
2 Installatie vanaf RHEL pakketten
3 Setup vanuit Debian/Ubuntu-pakketten
6 Sender
7 Get
8 JS
9 Webservice
1 Zabbix verkrijgen
1 PostgreSQL-plug-ins afhankelijkheden
2 MongoDB-plug-ins afhankelijkheden
2 Best practices voor veilige Zabbix-installatie
1 Zabbix-agent bouwen op Windows
2 Zabbix agent 2 bouwen op Windows
3 Zabbix-agent bouwen op macOS
1 Red Hat Enterprise Linux
2 Debian/Ubuntu/Raspbian
3 SUSE Linux Enterprise-server
4 Windows agent installatie van MSI
5 Mac OS-agentinstallatie vanaf PKG
6 Onstabiele releases
5 Installatie vanuit containers
6 Installatie van de webinterface
1 Upgrade van sources
1 Red Hat Enterprise Linux
2 Debian/Ubuntu
3 Upgrade vanuit containers
1 Compilation issues
9 Wijzigingen in sjablonen
10 Upgrade-notities voor 6.4.0
11 Upgrade notities voor 6.4.1
12 Upgrade-notities voor 6.4.2
13 Upgrade-notities voor 6.4.3
14 Upgrade-notities voor 6.4.4
15 Upgrade-notities voor 6.4.5
16 Upgrade-notities voor 6.4.6
17 Upgrade-notities voor 6.4.7
18 Upgrade notes for 6.4.8
19 Upgrade notes for 6.4.9
20 Upgrade notes for 6.4.10
21 Upgrade notes for 6.4.11
22 Upgrade notes for 6.4.12
23 Upgrade notes for 6.4.13
24 Upgrade notes for 6.4.14
1 Inloggen en gebruiker configureren
2 Nieuwe host
3 Nieuw item
4 Nieuwe trigger
5 Probleemmelding ontvangen
6 Nieuw template
6. Zabbix appliance
1 Configuratie van een host
2 Inventaris
3 Massa update
1 Indeling van item-sleutel
2 Aangepaste intervallen
1 Gebruiksvoorbeelden
2 Voorverwerkingsdetails
1 Escapen van speciale tekens in LLD-macrowaarden in JSONPath
1 Extra JavaScript-objecten
5 CSV naar JSON voorverwerking
1 Zabbix agent 2
2 Windows Zabbix agent
1 Dynamische indexen
3 MIB bestanden
Speciale OIDs
3 SNMP traps
4 IPMI-controles
1 VMware monitoring item sleutels
6 Log file monitoring
1 Geaggregeerde berekeningen
8 Interne controles
9 SSH controles
10 Telnet controles
11 Externe Controles
12 Trapper items
13 JMX bewaking
1 Aanbevolen UnixODBC instellingen voor MySQL
2 Aanbevolen UnixODBC instellingen voor PostgreSQL
3 Aanbevolen UnixODBC instellingen voor Oracle
4 Aanbevolen UnixODBC instellingen voor MSSQL
15 Afhankelijke items
16 HTTP agent
17 Prometheus controles
18 Script-items
4 Geschiedenis en trends
1 Zabbix-agents uitbreiden
6 Windows performance counters
7 Massa update
8 Waarde mapping
9 Wachtrij
10 Waarde cache
11 Nu uitvoeren
12 Beperken van agent controles
1 Een trigger configureren
2 Trigger-expressie
3 Trigger afhankelijkheden
4 Trigger ernst
5 Aanpassen van trigger ernstgraden
6 Massa-update
7 Voorspellende triggerfuncties
1 Trigger event genereren
2 Andere gebeurtenis bronnen
3 Handmatig sluiten van problemen
1 Op triggers gebaseerde gebeurteniscorrelatie
2 Global event correlation
6 Taggen
1 Simpele grafieken
2 Aangepaste grafieken
3 Ad-hoc grafieken
4 Aggregatie in grafieken
1 Een netwerk map configureren
2 Host groep elementen
3 Verbindingsindicatoren
3 Dashboards
4 Host dashboards
1 Een sjabloon configureren
2 Koppelen/ontkoppelen
3 Nesting
4 Massa-update
1 Zabbix agent template werking
2 Zabbix agent 2 template werking
3 HTTP sjabloon werking
6 ODBC template werking
7 Gestandaardiseerde sjablonen voor netwerkapparaten
ipmi
jmx
1 Email
2 SMS
3 Aangepaste waarschuwingsscripts
1 Webhook-scriptvoorbeelden
1 Voorwaarden
1 Bericht verzenden
2 Remote opdrachten
3 Extra operaties
4 Macro’s gebruiken in berichten
3 Hersteloperaties
4 Update operaties
5 Escalaties
3 Melding ontvangen over niet-ondersteunde items
1 Macrofuncties
2 Gebruikersmacro's
3 Gebruikersmacro's met context
4 Secret user macros
5 Low-level discovery macro's
6 Expressie macro's
1 Een gebruiker configureren
2 Machtigingen
3 Gebruikersgroepen
1 CyberArk-configuratie
2 HashiCorp-configuratie
14 Geplande rapporten
1 Exporteren naar bestanden
2 Streaming naar externe systemen
1 Serviceoverzicht
2 SLA
3 Installatie voorbeeld
1 Web monitoring items
2 Real-life scenario
1 VMware monitoring item sleutels
2 Velden voor ontdekkingssleutels van virtuele machines
3 JSON-voorbeelden voor VMware-items
4 VMware monitoring setup voorbeeld
11 Onderhoud
12 Reguliere expressies
1 Probleem onderdrukking
1 Template groepen
2 Hostgroepen
2 Sjablonen
3 Hosts
5 Netwerk maps
6 Media types
1 Een netwerkdetectieregel configureren
2 Automatische registratie van actieve agenten
1 Item prototypes
2 Triggerprototypen
3 Grafiek-prototypen
4 Host-prototypes
5 Opmerkingen over low-level discovery
1 Ontdekking van gekoppelde bestandssystemen
2 Discovery of network interfaces
4 Ontdekking van SNMP OID's
5 Discovery van SNMP OIDs (legacy)
6 Discovery van JMX objects
7 Discovery van IPMI sensors
8 Discovery van systemd services
9 Discovery van Windows services
10 Discovery van Windows prestatie teller instanties
11 Discovery met behulp van WMI queries
12 Discovery aan de hand van ODBC SQL queries
13 Discovery door gebruik van Prometheus data
14 Ontdekking van blokapparaten
15 Discovery van host interfaces in Zabbix
Discovery of CPUs and CPU cores
1 Synchronisatie van bewakingsconfiguratie
1 Certificaten gebruiken
2 Gebruik van vooraf gedeelde sleutels
1 Verbindingstype of toestemmingsproblemen
2 Certificate problems
3 PSK Problemen
1 Event menu
2 Host menu
3 Item menu
1 Actielogboek
2 Klok
3 Gegevensoverzicht
4 Ontdekkingsstatus
5 Favoriete grafieken
6 Favoriete kaarten
7 Geomap
8 Grafiek
9 Grafiek (klassiek)
10 Grafiek-prototype
11 Beschikbaarheid van hosts
12 Item waarde
13 Kaart
14 Kaart navigatieboom
15 Plain text
16 Probleemhosts
17 Problemen
18 Problemen volgens ernst
19 SLA rapport
20 Systeeminformatie
21 Top hosts
22 Triggeroverzicht
23 URL
24 Web monitoring
1 Problemen met oorzaken en symptomen
1 Grafieken
2 Web scenarios
3 Laatste gegevens
4 Kaarten
5 Discovery
1 Services
2 SLA
3 SLA rapport
1 Overzicht
2 Hosts
1 Systeeminformatie
2 Geplande rapporten
3 Beschikbaarheidsrapport
4 Triggers top 100
5 Audit logboek
6 Actie logboek
7 Meldingen
1 Host groepen
1 Sjabloon groepen
1 Items
2 Triggers
3 Grafieken
1 item prototypes
2 Trigger-prototypes
3 Grafiek-prototypes
4 Host-prototypes
5 Webscenario's
1 Items
2 Triggers
3 Grafieken
1 item prototypes
2 Trigger-prototypes
3 Grafiek-prototypes
4 Host-prototypes
5 Webscenario's
5 Maintenance
6 Correlatie van gebeurtenissen
7 Ontdekking
5 Acties
7 Media types
8 Scripts
3 Gebruikers
4 API tokens
4 Gebruikers groepen
1 HTTP
2 LDAP
3 SAML
5 Gebruikers rollen
1 Algemeen
2 Audit log
3 Housekeeping
4 Proxies
5 Macros
6 Wachtrij
1 Globale meldingen
2 Geluid in browsers
4 Globaal zoeken
5 Frontend-onderhoudsmodus
6 Paginaparameters
7 Definities
8 Aanmaken van eigen thema
9 Debug modus
10 Cookies gebruikt door Zabbix
11 Tijdzones
13 Wachtwoord opnieuw instellen
> Actie-object
actie.maken
actie.update
action.delete
action.get
> Afbeeldingsobject
afbeelding.update
afbeelding.verwijderen
image.create
image.get
apiinfo.versie
> Item prototype-object
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
> Auditlog-object
auditlog.get
> Authenticatie-object
authenticatie.get
authentication.update
> Autoregistratie-object
autoregistration.get
autoregistration.update
configuratie.export
configuratie.import
configuratie.importvergelijking
> Connector object
connector.create
connector.delete
connector.get
connector.update
> Correlatie-object
correlatie.creëren
correlatie.delete
correlation.get
correlation.update
> Dashboardobject
1 Actielogboek
2 Klok
3 Gegevensoverzicht
4 Ontdekkingsstatus
5 Favoriete grafieken
6 Favoriete kaarten
7 Geomap
8 Grafiek
9 Grafiek (klassiek)
10 Grafiek-prototype
11 Beschikbaarheid van hosts
12 Item waarde
13 Kaart
14 Kaart navigatieboom
15 Plain text
16 Probleemhosts
17 Problemen
18 Problemen volgens ernst
19 SLA rapport
20 Systeeminformatie
21 Top hosts
22 Trigger overzicht
23 URL
24 Web monitoring
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
> Gebeurtenisobject
event.acknowledge
event.get
> Host-object
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
> Gebruikersobject
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.provision
user.unblock
user.update
> Gebruikersgroepsobject
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
> Gebruikersmacro-object
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> Gebruikersdirectory-object
userdirectory.create
userdirectory.delete
userdirectory.get
userdirectory.test
userdirectory.update
> Geschiedenisobject
history.clear
history.get
> Grafiekobject
grafiek.creëren
grafiek.get
grafiek.update
grafiek.verwijderen
> Grafiek item-object
graphitem.get
> Grafiek prototype-object
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
> Hostinterface-object
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
> Host prototype object
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
> Host-groepsobject
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.propagate
hostgroup.update
> Actie-object
settings.get
settings.update
> Item-object
item.create
item.delete
item.get
item.update
> Kaartobject
kaart.update
map.create
map.delete
map.get
> LLD-regelobject
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> Mediatype-object
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
> Module object
module.create
module.delete
module.get
module.update
> Knooppuntobject met hoge beschikbaarheid
hanode.get
> Onderhoudsobject
maintenance.create
maintenance.delete
maintenance.get
onderhoud.update
> Discovery-controleobject
dcheck.get
> Ontdekkingsregelobject
drule.create
drule.delete
drule.get
drule.update
> Serviceobject ontdekt
dservice.get
> Ontdekt host object
dhost.get
> Pictogram kaartobject
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
> Probleem object
problem.get
> Rapporteer object
report.create
report.delete
report.get
report.update
> Reguliere expressie-object
regexp.create
regexp.delete
regexp.get
regexp.update
> Rolobject
role.create
role.delete
role.get
role.update
> Host-object
housekeeping.update
huishouding.get
> Kaartobject
script.create
script.delete
script.execute
script.get
script.getscriptsbyevents
script.getscriptsbyhosts
script.update
> Service-object
service.create
service.delete
service.get
service.update
> Rapporteer object
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
> Sjabloon dashboardobject
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
> Sjabloon groep object
templategroup.create
templategroup.delete
templategroup.get
templategroup.massadd
templategroup.massremove
templategroup.massupdate
templategroup.propagate
templategroup.update
> SLA-object
sla.create
sla.delete
sla.get
sla.getsli
sla.update
> Taakobject
task.create
task.get
> Token-object
token.create
token.delete
token.generate
token.get
token.update
> Trendobject
trend.get
> Trigger-object
trigger.create
trigger.get
trigger.update
trigger.verwijderen
> Item prototype object
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
> Proxy-object
proxy.create
proxy.delete
proxy.get
proxy.update
> Waardekaartobject
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
> Waarschuwingsobject
alert.get
> Webscenario-object
httptest.create
httptest.delete
httptest.get
httptest.update
Bijlage 1. Referentie commentaar
Bijlage 2. Wijzigingen van 6.2 naar 6.4
Zabbix API-wijzigingen in 6.4
1 Loadable modules
1 Laadbare plugins bouwen
3 Frontend modules
1 Veelgestelde vragen / Probleemoplossing
1 Database maken
2 Tekenset en sortering van Zabbix-database herstellen
3 Database-upgrade naar primaire sleutels
1 MySQL encryptie configuratie
2 PostgreSQL encryptie configuratie
5 TijdschaalDB-configuratie
6 Elasticsearch-configuratie
7 Distributie specifieke noties voor de setup van Nginx voor Zabbix
10 SAML installatie met Microsoft Azure AD
10 Zabbix-agent op Microsoft Windows
11 SAML-configuratie met Okta
12 Oracle-database instellen
12 SAML installatie met OneLogin
13 Geplande rapporten instellen
15 Upgraden naar numerieke waarden van uitgebreid bereik
16 Extra frontend talen
Zabbix agent 2
1 Zabbix server
2 Zabbix proxy
3 Zabbix agent (UNIX)
4 Zabbix-agent 2 (UNIX)
5 Zabbix agent (Windows)
6 Zabbix agent 2 (Windows)
1 Ceph plugin
2 Docker plugin
3 Memcached plugin
4 Modbus plugin
5 MongoDB plugin
6 MQTT plugin
7 MSSQL plugin
7 MySQL plugin
8 Oracle plugin
9 PostgreSQL plugin
10 Redis plugin
11 Smart plugin
8 Zabbix Java-gateway
9 Zabbix web service
10 Inclusie
1 Server-proxy data-uitwisselingsprotocol
2 Zabbix-agent protocol
3 Zabbix agent 2-protocol
4 Header
4 Zabbix agent 2 plugin protocol
5 Zabbix-zenderprotocol
7 Protocol voor exporteren in JSON-indeling met scheidingstekens voor nieuwe regels
1 vm.memory.size parameters
2 Passive and active agent checks
3 Trapper items
4 Minimaal machtigingsniveau voor Windows-agent items
5 Codering van geretourneerde waarden
6 Ondersteuning voor grote bestanden
7 Sensor
8 Opmerkingen over memtype-parameter in proc.mem-items
9 Notities over het selecteren van processen in proc.mem- en proc.num-items
10 Implementatiedetails van net.tcp.service en net.udp.service controles
11 proc.get parameters
12 Onbereikbare/niet beschikbare hostinterface-instellingen
13 Controle op afstand van Zabbix-statistieken
14 Kerberos configureren met Zabbix
15 modbus.get-parameters
16 Aangepaste prestatie teller items aanmaken voor VMware
17 Retour waarden
1 Foreach-functies
2 Bitwise functies
3 Datum en tijd functies
4 Geschiedenisfuncties
5 Trendfuncties
6 Wiskundige functies
7 Operator functies
8 Voorspellingsfuncties
9 Tekstfuncties
1 Ondersteunde macro's
2 Gebruikersmacro's ondersteund door locatie
8 Eenheidssymbolen
9 Syntaxis van tijdsperiode
10 Uitvoering van commando's
11 Versie compatibiliteit
12 Database foutafhandeling
13 Zabbix verzender dynamische koppelingsbibliotheek voor Windows
14 Python library for Zabbix API
16 Vergelijking tussen Agent en Agent 2
17 Upgrade van servicebewaking
18 Andere problemen
18 Escaping examples
1 Monitor Linux met Zabbix agent
2 Monitor Windows met Zabbix agent
3 Monitor Apache via HTTP
4 Monitor MySQL met Zabbix agent 2
5 VMware monitoren met Zabbix
manifest.json
Acties
Views
Assets
Een nieuwe module registreren
Configuratie
Presentatie
Maak een module (handleiding)
Maak een widget (handleiding)
Voorbeelden
Voorbeelden
Maak een plug-in (handleiding)
Plug-in-interfaces
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

1 Certificaten gebruiken

Overzicht

Zabbix kan RSA-certificaten in PEM-indeling gebruiken, ondertekend door een openbare of interne certificeringsinstantie (CA). Certificaatverificatie wordt uitgevoerd tegen een vooraf geconfigureerd CA-certificaat. Optioneel kunnen certificaatintrekkingslijsten (CRL) worden gebruikt. Elke Zabbix-component kan slechts één certificaat geconfigureerd hebben.

Voor meer informatie over hoe u een interne CA kunt opzetten en exploiteren, hoe u certificaataanvragen kunt genereren en ondertekenen, en hoe u certificaten kunt intrekken, kunt u talloze online handleidingen vinden, bijvoorbeeld OpenSSL PKI-tutorial v1.1.

Denk zorgvuldig na en test uw certificaatextensies - zie Beperkingen bij het gebruik van X.509 v3-certificaatextensies.

Certificaat configuratieparameters

Parameter Mandatory Beschrijving
TLSCAFile ja Volledig pad naar een bestand dat de top-level CA(s) certificaten bevat voor verificatie van peer-certificaten.
In het geval van een certificaatketen met meerdere leden moeten ze worden geordend: certificaten van lagere niveau CA's eerst gevolgd door certificaten van hogere niveau CA's.
Certificaten van meerdere CA's kunnen in één bestand worden opgenomen.
TLSCRLFile nee Volledig pad naar een bestand dat Certificate Revocation Lists bevat. Zie de opmerkingen in Certificate Revocation Lists (CRL).
TLSCertFile ja Volledig pad naar een bestand dat het certificaat bevat (certificaatketen).
In het geval van een certificaatketen met meerdere leden moeten ze worden geordend: server, proxy of agent certificaat eerst, gevolgd door certificaten van lagere niveau CA's en vervolgens certificaten van hogere niveau CA's.
TLSKeyFile ja Volledig pad naar een bestand dat de privésleutel bevat. Stel de toegangsrechten voor dit bestand in - het moet alleen leesbaar zijn door de Zabbix-gebruiker.
TLSServerCertIssuer nee Toegestane uitgever van servercertificaten.
TLSServerCertSubject nee Toegestaan onderwerp van servercertificaten.

Certificaatconfiguratie op Zabbix-server

  1. Om peer-certificaten te verifiëren, moet de Zabbix-server toegang hebben tot een bestand met hun top-level zelfondertekende root CA-certificaten. Als we bijvoorbeeld certificaten verwachten van twee onafhankelijke root CAs, kunnen we hun certificaten in een bestand /home/zabbix/zabbix_ca_file plaatsen zoals hieronder:

    Certificaat: Gegevens: Versie: 3 (0x2) Serienummer: 1 (0x1) Ondertekeningsalgoritme: sha1WithRSAEncryption Uitgever: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA ... Onderwerp: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA Openbare-sleutelinformatie onderwerp: Openbare-sleutelalgoritme: rsaEncryption Openbare sleutel: (2048 bits) ... X509v3-extensies: X509v3 Sleutelgebruik: kritiek Certificaat Ondertekenen, CRL Ondertekenen X509v3 Basisbeperkingen: kritiek CA:WAAR ... -----BEGIN CERTIFICATE----- MIID2jCCAsKgAwIBAgIBATANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB .... 9wEzdN8uTrqoyU78gi12npLj08LegRKjb5hFTVmO -----END CERTIFICATE----- Certificaat: Gegevens: Versie: 3 (0x2) Serienummer: 1 (0x1) Ondertekeningsalgoritme: sha1WithRSAEncryption Uitgever: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA ... Onderwerp: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA Openbare-sleutelinformatie onderwerp: Openbare-sleutelalgoritme: rsaEncryption Openbare sleutel: (2048 bits) .... X509v3-extensies: X509v3 Sleutelgebruik: kritiek Certificaat Ondertekenen, CRL Ondertekenen X509v3 Basisbeperkingen: kritiek CA:WAAR ....
    -----BEGIN CERTIFICATE----- MIID3DCCAsSgAwIBAgIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQB ... vdGNYoSfvu41GQAR5Vj5FnRJRzv5XQOZ3B6894GY1zY= -----END CERTIFICATE-----

  2. Plaats de certificaatketen van de Zabbix-server in een bestand, bijvoorbeeld /home/zabbix/zabbix_server.crt:

    Certificaat: Gegevens: Versie: 3 (0x2) Serienummer: 1 (0x1) Ondertekeningsalgoritme: sha1WithRSAEncryption Uitgever: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA ... Onderwerp: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix server Openbare-sleutelinformatie onderwerp: Openbare-sleutelalgoritme: rsaEncryption Openbare sleutel: (2048 bits) ... X509v3-extensies: X509v3 Sleutelgebruik: kritiek Digitale Handtekening, Sleutel Versleuteling X509v3 Basisbeperkingen: CA:ONWAAR ... -----BEGIN CERTIFICATE----- MIIECDCCAvCgAwIBAgIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixk ... h02u1GHiy46GI+xfR3LsPwFKlkTaaLaL/6aaoQ== -----END CERTIFICATE----- Certificaat: Gegevens: Versie: 3 (0x2) Serienummer: 2 (0x2) Ondertekeningsalgoritme: sha1WithRSAEncryption Uitgever: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA ... Onderwerp: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA Openbare-sleutelinformatie onderwerp: Openbare-sleutelalgoritme: rsaEncryption Openbare sleutel: (2048 bits) ... X509v3-extensies: X509v3 Sleutelgebruik: kritiek Certificaat Ondertekenen, CRL Ondertekenen X509v3 Basisbeperkingen: kritiek CA:WAAR, padlengte:0 ... -----BEGIN CERTIFICATE----- MIID4TCCAsmgAwIBAgIBAjANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB ... dyCeWnvL7u5sd6ffo8iRny0QzbHKmQt/wUtcVIvWXdMIFJM0Hw== -----END CERTIFICATE-----

Hierbij is het eerste certificaat van de Zabbix-server, gevolgd door een tussenliggend CA-certificaat.

Het gebruik van enige attributen behalve die hierboven vermeld, wordt afgeraden voor zowel client- als servercertificaten, omdat dit het certificaatverificatieproces kan beïnvloeden. OpenSSL kan bijvoorbeeld falen om een versleutelde verbinding tot stand te brengen als X509v3 Extended Key Usage of Netscape Cert Type zijn ingesteld. Zie ook: Beperkingen bij het gebruik van X.509 v3-certificaatextensies.

  1. Plaats de privésleutel van de Zabbix-server in een bestand, bijvoorbeeld /home/zabbix/zabbix_server.key:

    -----BEGIN PRIVATE KEY----- MIIEwAIBADANBgkqhkiG9w0BAQEFAASCBKowggSmAgEAAoIBAQC9tIXIJoVnNXDl ... IJLkhbybBYEf47MLhffWa7XvZTY= -----END PRIVATE KEY-----

  2. Bewerk de TLS-parameters in het configuratiebestand van de Zabbix-server als volgt:

    TLSCAFile=/home/zabbix/zabbix_ca_file TLSCertFile=/home/zabbix/zabbix_server.crt TLSKeyFile=/home/zabbix/zabbix_server.key

Configuratie van certificaatgebaseerde versleuteling voor Zabbix-proxy

  1. Bereid bestanden voor met certificaten van top-level CA, proxy-certificaatketen en privésleutel zoals beschreven in Configuratie van certificaat op Zabbix-server. Bewerk de parameters TLSCAFile, TLSCertFile en TLSKeyFile in de proxy-configuratie dienovereenkomstig.

  2. Voor een actieve proxy bewerk de parameter TLSConnect:

    TLSConnect=cert

Voor een passieve proxy bewerk de parameter TLSAccept:

TLSAccept=cert

  1. Nu heeft u een minimale certificaatgebaseerde proxy-configuratie. U kunt de beveiliging van de proxy mogelijk verbeteren door de parameters TLSServerCertIssuer en TLSServerCertSubject in te stellen (zie Beperking van toegestane certificaatuitgever en -onderwerp).

  2. In het uiteindelijke configuratiebestand van de proxy kunnen de TLS-parameters er als volgt uitzien:

    TLSConnect=cert TLSAccept=cert TLSCAFile=/home/zabbix/zabbix_ca_file TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com TLSServerCertSubject=CN=Zabbix server,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com TLSCertFile=/home/zabbix/zabbix_proxy.crt TLSKeyFile=/home/zabbix/zabbix_proxy.key

  3. Configureer de versleuteling voor deze proxy in de Zabbix-frontend:

  • Ga naar: Beheer → Proxies
  • Selecteer de proxy en klik op het tabblad Versleuteling

In de onderstaande voorbeelden zijn de Issuer- en Subject-velden ingevuld - zie Beperking van toegestane certificaatuitgever en -onderwerp waarom en hoe u deze velden kunt gebruiken.

Voor een actieve proxy

proxy_active_cert.png

Voor een passieve proxy

proxy_passive_cert.png

Configuratie van certificaatgebaseerde versleuteling voor Zabbix-agent

  1. Bereid bestanden voor met certificaten van top-level CA, agent-certificaatketen en privésleutel zoals beschreven in Configuratie van certificaat op Zabbix-server. Bewerk de parameters TLSCAFile, TLSCertFile en TLSKeyFile in de agent-configuratie dienovereenkomstig.

  2. Voor actieve controles bewerk de parameter TLSConnect:

    TLSConnect=cert

Voor passieve controles bewerk de parameter TLSAccept:

TLSAccept=cert

  1. Nu heeft u een minimale certificaatgebaseerde agent-configuratie. U kunt de beveiliging van de agent mogelijk verbeteren door de parameters TLSServerCertIssuer en TLSServerCertSubject in te stellen (zie Beperking van toegestane certificaatuitgever en -onderwerp).

  2. In het uiteindelijke configuratiebestand van de agent kunnen de TLS-parameters er als volgt uitzien:

    TLSConnect=cert TLSAccept=cert TLSCAFile=/home/zabbix/zabbix_ca_file TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com TLSCertFile=/home/zabbix/zabbix_agentd.crt TLSKeyFile=/home/zabbix/zabbix_agentd.key

(Het voorbeeld gaat ervan uit dat de host wordt bewaakt via een proxy, vandaar de onderwerp van het proxy-certificaat.)

  1. Configureer de versleuteling voor deze agent in de Zabbix-frontend:
  • Ga naar: Gegevensverzameling → Hosts
  • Selecteer de host en klik op het tabblad Versleuteling

In het onderstaande voorbeeld zijn de Issuer- en Subject-velden ingevuld - zie Beperking van toegestane certificaatuitgever en -onderwerp waarom en hoe u deze velden kunt gebruiken.

agent_config.png

Beperking van toegestane certificaatuitgever en -onderwerp

Wanneer twee Zabbix-componenten (bijv. server en agent) een TLS-verbinding tot stand brengen, controleren ze elkaars certificaten. Als een peer-certificaat is ondertekend door een vertrouwde CA (met vooraf geconfigureerd top-level certificaat in TLSCAFile), geldig is, niet is verlopen en enkele andere controles doorstaat, kan de communicatie doorgaan. De certificaatuitgever en het onderwerp worden in dit eenvoudigste geval niet gecontroleerd.

Hier is een risico - iedereen met een geldig certificaat kan zich voordoen als iemand anders (bijv. een hostcertificaat kan worden gebruikt om zich voor te doen als een server). Dit kan acceptabel zijn in kleine omgevingen waar certificaten worden ondertekend door een toegewijde in-house CA en het risico van voordoen laag is.

Als uw top-level CA wordt gebruikt voor het uitgeven van andere certificaten die niet door Zabbix moeten worden geaccepteerd of als u het risico van voordoen wilt verminderen, kunt u toegestane certificaten beperken door hun Issuer- en Subject-reeksen op te geven.

Bijvoorbeeld, u kunt in het configuratiebestand van de Zabbix-proxy schrijven:

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix server,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

Met deze instellingen zal een actieve proxy niet communiceren met een Zabbix-server met een andere Issuer- of Subject-reeks in het certificaat, en een passieve proxy zal geen verzoeken accepteren van zo'n server.

Een paar opmerkingen over het matchen van Issuer- of Subject-reeksen:

  1. Issuer- en Subject-reeksen worden onafhankelijk gecontroleerd. Beide zijn optioneel.
  2. UTF-8 karakters zijn toegestaan.
  3. Een niet-gespecificeerde tekenreeks betekent dat elke tekenreeks wordt geaccepteerd.
  4. Tekstreeksen worden "zoals ze zijn" vergeleken, ze moeten exact hetzelfde zijn om overeen te komen.
  5. Wildcards en reguliere expressies worden niet ondersteund in het overeenkomen.
  6. Alleen enkele eisen van RFC 4514 Lichtgewicht Directory Toegangsprotocol (LDAP): Tekstweergave van Distinguished Names zijn geïmplementeerd:
    1. escapekarakters '"' (U+0022), '+' U+002B, ',' U+002C, ';' U+003B, '<' U+003C, '>' U+003E, '\' U+005C ergens in de string.
    2. ontsnappingskarakter spatie (' ' U+0020) of nummerteken ('#' U+0023) aan het begin van de string.
    3. ontsnappingskarakter spatie (' ' U+0020) aan het einde van de string.
  7. De match mislukt als een nul-teken (U+0000) wordt aangetroffen (RFC 4514 staat dit toe).
  8. Eisen van RFC 4517 Lichtgewicht Directory Toegangsprotocol (LDAP): Syntaxes en Matchregels en RFC 4518 Lichtgewicht Directory Toegangsprotocol (LDAP): Geïnternationaliseerde Stringvoorbereiding worden niet ondersteund vanwege de benodigde hoeveelheid werk.

Volgorde van velden in Issuer- en Subject-reeksen en opmaak zijn belangrijk! Zabbix volgt de aanbeveling van RFC 4514 en gebruikt een "omgekeerde" volgorde van velden.

De omgekeerde volgorde kan worden geïllustreerd aan de hand van een voorbeeld:

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

Let op dat het begint met het lage niveau (CN), doorgaat naar het middelste niveau (OU, O) en eindigt met het topniveau (DC) velden.

OpenSSL toont standaard certificaatuitgever en -onderwerp velden in "normale" volgorde, afhankelijk van de gebruikte extra opties:

$ openssl x509 -noout -in /home/zabbix/zabbix_proxy.crt -issuer -subject
       issuer= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Signing CA
       subject= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Zabbix proxy
       
       $ openssl x509 -noout -text -in /home/zabbix/zabbix_proxy.crt
       Certificate:
               ...
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
           ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix proxy

Hier starten Issuer- en Subject-reeksen met het topniveau (DC) en eindigen met het lage niveau (CN) veld, spaties en veldscheiders zijn afhankelijk van de gebruikte opties. Geen van deze waarden komt overeen in Zabbix Issuer- en Subject-velden!

Om de juiste Issuer- en Subject-reeksen te krijgen die bruikbaar zijn in Zabbix, roep OpenSSL aan met speciale opties (-nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname):

$ openssl x509 -noout -issuer -subject \
               -nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname \
               -in /home/zabbix/zabbix_proxy.crt
       issuer= CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       subject= CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

Nu zijn de tekenreeksvelden in omgekeerde volgorde, de velden zijn door komma's gescheiden en kunnen worden gebruikt in Zabbix-configuratiebestanden en de frontend.

Beperkingen bij het gebruik van X.509 v3-certificaatextensies

  • Alternatieve naam van het onderwerp (subjectAltName) extensie.
    Alternatieve onderwerpnamen uit de subjectAltName extensie (zoals IP-adres, e-mailadres) worden niet ondersteund door Zabbix. Alleen de waarde van het "Subject" veld kan worden gecontroleerd in Zabbix (zie Beperking van toegestane certificaatuitgever en -onderwerp).
    Als het certificaat de subjectAltName extensie gebruikt, hangt het resultaat af van de specifieke combinatie van crypto-toolkits waarin Zabbix-componenten zijn gecompileerd (het kan wel of niet werken, Zabbix kan weigeren dergelijke certificaten van peers te accepteren).
  • Uitgebreid sleutelgebruik (Extended Key Usage) extensie.
    Indien gebruikt, zijn over het algemeen zowel clientAuth (TLS WWW-clientverificatie) als serverAuth (TLS WWW-serververificatie) noodzakelijk.
    Bijvoorbeeld, bij passieve checks treedt de Zabbix-agent op als een TLS-server, dus serverAuth moet worden ingesteld in het agentcertificaat. Voor actieve checks moet het agentcertificaat clientAuth hebben ingesteld.
    GnuTLS geeft een waarschuwing bij schending van het sleutelgebruik, maar staat communicatie toe om door te gaan.
  • Naambeperkingen (Name Constraints) extensie.
    Niet alle crypto-toolkits ondersteunen dit. Deze extensie kan voorkomen dat Zabbix CA-certificaten laadt waarin deze sectie is gemarkeerd als kritisch (afhankelijk van de specifieke crypto-toolkit).

Certificaatverroepingslijsten (CRL)

Als een certificaat gecompromitteerd is, kan de CA het intrekken door het op te nemen in de CRL. CRL's kunnen worden geconfigureerd in de configuratiebestanden van de server, proxy en agent met behulp van de parameter TLSCRLFile. Bijvoorbeeld:

TLSCRLFile=/home/zabbix/zabbix_crl_file

waarbij zabbix_crl_file CRL's van meerdere CA's kan bevatten en er als volgt uit kan zien:

-----BEGIN X509 CRL-----
       MIIB/DCB5QIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixkARkWA2Nv
       ...
       treZeUPjb7LSmZ3K2hpbZN7SoOZcAoHQ3GWd9npuctg=
       -----END X509 CRL-----
       -----BEGIN X509 CRL-----
       MIIB+TCB4gIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQBGRYDY29t
       ...
       CAEebS2CND3ShBedZ8YSil59O6JvaDP61lR5lNs=
       -----END X509 CRL-----

Het CRL-bestand wordt alleen geladen bij het starten van Zabbix. Het bijwerken van CRL's vereist een herstart.

Als een Zabbix-component is gecompileerd met OpenSSL en CRL's worden gebruikt, moet elke top- en tussenliggende CA in de certificaatketens een overeenkomstige CRL hebben (deze kan leeg zijn) in het TLSCRLFile.

© 2001-2024 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy