17 Google Chrome TLS sertifikāta uzticamība
Pārskats
Šajā lapā ir sniegti Zabbix iestatīšanas soļi un konfigurācijas piemēri, lai izmantotu Google Chrome ar Zabbix lietotāja saskarni vai zabbix-web-service galapunktiem, kas ir aizsargāti ar pašparakstītu sertifikātu vai privātu sertifikātu izdevēju.
Šie norādījumi pieņem, ka mērķa tīmekļa serveris jau ir konfigurēts darbam ar HTTPS. Lai konfigurētu TLS Zabbix lietotāja saskarnei, skatiet Drošs savienojums ar lietotāja saskarni.
Konfigurācija
Google Chrome operētājsistēmā Linux izmanto katram lietotājam atsevišķu NSS sertifikātu datubāzi uzticamajiem sertifikātiem. Lai Chrome uzticētos pašparakstītam sertifikātam vai privātai sertifikātu iestādei, pievienojiet nepieciešamos sertifikātus tā lietotāja konta NSS datubāzei, kurš palaiž Chrome.
1. Instalējiet nepieciešamās pakotnes.
Debian/Ubuntu:
sudo apt install ca-certificates libnss3-tools
RHEL bāzētām sistēmām:
sudo dnf install ca-certificates nss-tools
Vai:
sudo yum install ca-certificates nss-tools
2. Sagatavojiet sertifikātu failus.
Katram nepieciešamajam sertifikātam: izveidojiet uz PEM balstītu .crt failu pašparakstītajam sertifikātam vai izveidojiet atsevišķus uz PEM balstītus .crt failus saknes sertifikātu iestādes sertifikātam un, ja nepieciešams, katram starpsertifikātam.
3. Izveidojiet NSS datubāzes direktoriju.
Izmantojiet tā lietotāja mājas direktoriju, kurš palaiž Chrome.
Piemēram:
sudo mkdir -p /var/lib/zabbix/.pki/nssdb
sudo -u zabbix certutil -N -d sql:/var/lib/zabbix/.pki/nssdb
sudo chown -R zabbix:zabbix /var/lib/zabbix/.pki/nssdb
Ja Chrome mērķsistēmā izmanto citu NSS datubāzes atrašanās vietu, izmantojiet šo direktoriju.
Pārliecinieties, ka sertifikātu faili ir lasāmi lietotājam, kurš palaiž Google Chrome. Ja nepieciešams, nokopējiet tos uz vietu, kurai šis lietotājs var piekļūt.
4. Importējiet sertifikātus.
Ja izmantojat pašparakstītu sertifikātu:
sudo -u zabbix certutil -d sql:/var/lib/zabbix/.pki/nssdb \
-A -t "P,," \
-n "Zabbix self-signed certificate" \
-i /path/to/self-signed.crt
Ja izmantojat privātu sertifikātu iestādi, importējiet saknes sertifikātu iestādes sertifikātu datubāzē:
sudo -u zabbix certutil -d sql:/var/lib/zabbix/.pki/nssdb \
-A -t "C,," \
-n "Zabbix root certificate authority" \
-i /path/to/root-ca.crt
Ja tiek izmantoti kādi starpsertifikāti, importējiet katru atsevišķi:
sudo -u zabbix certutil -d sql:/var/lib/zabbix/.pki/nssdb \
-A -t ",," \
-n "Zabbix intermediate certificate" \
-i /path/to/intermediate-ca.crt
5. Pārbaudiet sertifikātu datubāzi.
sudo -u zabbix certutil -d sql:/var/lib/zabbix/.pki/nssdb -L
6. Pārbaudiet Chrome.
Google Chrome izmanto tā lietotāja konta sertifikātu datubāzi, kurš to palaiž. Ja lietotāja kontam nav rakstāma mājas direktorija, pirms testa palaišanas konfigurējiet rakstāmu mājas direktoriju un XDG direktorijus.
Piemērs (aizstājiet google-chrome ar chromium, ja tiek izmantots Chromium.):
sudo -u zabbix env \
HOME=/var/lib/zabbix-home \
XDG_CONFIG_HOME=/var/lib/zabbix-home/.config \
XDG_DATA_HOME=/var/lib/zabbix-home/.local/share \
XDG_CACHE_HOME=/var/lib/zabbix-home/.cache \
google-chrome --headless --disable-gpu \
--user-data-dir=/var/lib/zabbix-home/chrome-profile \
--dump-dom https://FQDN_OF_ZABBIX_SERVER
Ja konfigurācija ir pareiza, komanda atgriež pieprasītās lapas HTML.
Ja Chrome neuzticas sertifikātam, komanda atgriež sertifikāta kļūdas lapu ar tādiem ziņojumiem kā NET::ERR_CERT_AUTHORITY_INVALID.
Problēmu novēršana
| Kļūda | Iespējamais iemesls |
|---|---|
NET::ERR_CERT_AUTHORITY_INVALID |
Sertifikāts tika importēts nepareizā lietotāja profilā, trūkst saknes sertifikātu iestādes sertifikāta vai trūkst starpsertifikāta. |
NET::ERR_CERT_COMMON_NAME_INVALID |
Sertifikāts neatbilst resursdatora nosaukumam, kas izmantots pārlūkprogrammas URL. |
NET::ERR_CERT_DATE_INVALID |
Sertifikāta derīguma termiņš ir beidzies, tas vēl nav derīgs vai sistēmas pulkstenis ir nepareizs. |
| Chrome joprojām rāda sertifikāta brīdinājumu pēc importēšanas | Chrome pašreizējam lietotājam izmanto citu NSS datubāzi vai sertifikāta uzticamības karodziņi ir nepareizi. |