17 Google Chrome TLS sertifikāta uzticamība

Pārskats

Šajā lapā ir sniegti Zabbix iestatīšanas soļi un konfigurācijas piemēri, lai izmantotu Google Chrome ar Zabbix lietotāja saskarni vai zabbix-web-service galapunktiem, kas ir aizsargāti ar pašparakstītu sertifikātu vai privātu sertifikātu centru.

Šie norādījumi pieņem, ka mērķa tīmekļa serveris jau ir konfigurēts darbam ar HTTPS. Lai konfigurētu TLS Zabbix lietotāja saskarnei, skatiet Drošs savienojums ar lietotāja saskarni.

Konfigurācija

Google Chrome operētājsistēmā Linux izmanto katram lietotājam atsevišķu NSS sertifikātu datubāzi uzticamajiem sertifikātiem. Lai Chrome uzticētos pašparakstītam sertifikātam vai privātai sertifikātu iestādei, pievienojiet nepieciešamos sertifikātus tās lietotāja konta NSS datubāzei, kas palaiž Chrome.

1. Instalējiet nepieciešamās pakotnes.

Debian/Ubuntu:

sudo apt install ca-certificates libnss3-tools

RHEL bāzētām sistēmām:

sudo dnf install ca-certificates nss-tools

Vai:

sudo yum install ca-certificates nss-tools

2. Sagatavojiet sertifikātu failus.

Katram nepieciešamajam sertifikātam: izveidojiet uz PEM balstītu .crt failu pašparakstītajam sertifikātam vai izveidojiet atsevišķus uz PEM balstītus .crt failus saknes sertifikātu iestādes sertifikātam un, ja nepieciešams, katram starpsertifikātam.

3. Izveidojiet NSS datubāzes direktoriju.

Izmantojiet tās lietotāja mājas direktoriju, kas palaiž Chrome.

Piemēram:

sudo mkdir -p /var/lib/zabbix/.pki/nssdb
sudo -u zabbix certutil -N -d sql:/var/lib/zabbix/.pki/nssdb
sudo chown -R zabbix:zabbix /var/lib/zabbix/.pki/nssdb

Ja Chrome mērķa sistēmā izmanto citu NSS datubāzes atrašanās vietu, izmantojiet šo direktoriju.

Pārliecinieties, ka sertifikātu faili ir lasāmi lietotājam, kas palaiž Google Chrome. Ja nepieciešams, nokopējiet tos uz vietu, kurai šis lietotājs var piekļūt.

4. Importējiet sertifikātus.

Ja izmantojat pašparakstītu sertifikātu:

sudo -u zabbix certutil -d sql:/var/lib/zabbix/.pki/nssdb \
  -A -t "P,," \
  -n "Zabbix self-signed certificate" \
  -i /path/to/self-signed.crt

Ja izmantojat privātu sertifikātu iestādi, importējiet saknes sertifikātu iestādes sertifikātu datubāzē:

sudo -u zabbix certutil -d sql:/var/lib/zabbix/.pki/nssdb \
  -A -t "C,," \
  -n "Zabbix root certificate authority" \
  -i /path/to/root-ca.crt

Ja tiek izmantoti kādi starpsertifikāti, importējiet katru atsevišķi:

sudo -u zabbix certutil -d sql:/var/lib/zabbix/.pki/nssdb \
  -A -t ",," \
  -n "Zabbix intermediate certificate" \
  -i /path/to/intermediate-ca.crt

5. Pārbaudiet sertifikātu datubāzi.

sudo -u zabbix certutil -d sql:/var/lib/zabbix/.pki/nssdb -L

6. Pārbaudiet Chrome.

Google Chrome izmanto tās lietotāja konta sertifikātu datubāzi, kas to palaiž. Ja lietotāja kontam nav rakstāma mājas direktorija, pirms testa palaišanas konfigurējiet rakstāmu mājas direktoriju un XDG direktorijus.

Piemērs (aizstājiet google-chrome ar chromium, ja tiek izmantots Chromium.):

sudo -u zabbix env \
  HOME=/var/lib/zabbix-home \
  XDG_CONFIG_HOME=/var/lib/zabbix-home/.config \
  XDG_DATA_HOME=/var/lib/zabbix-home/.local/share \
  XDG_CACHE_HOME=/var/lib/zabbix-home/.cache \
  google-chrome --headless --disable-gpu \
  --user-data-dir=/var/lib/zabbix-home/chrome-profile \
  --dump-dom https://FQDN_OF_ZABBIX_SERVER

Ja konfigurācija ir pareiza, komanda atgriež pieprasītās lapas HTML.

Ja Chrome neuzticas sertifikātam, komanda atgriež sertifikāta kļūdas lapu ar tādiem ziņojumiem kā NET::ERR_CERT_AUTHORITY_INVALID.

Problēmu novēršana

Kļūda Iespējamais iemesls
NET::ERR_CERT_AUTHORITY_INVALID Sertifikāts tika importēts nepareizā lietotāja profilā, trūkst saknes sertifikātu iestādes sertifikāta vai trūkst starpsertifikāta.
NET::ERR_CERT_COMMON_NAME_INVALID Sertifikāts neatbilst resursdatora nosaukumam, kas izmantots pārlūkprogrammas URL.
NET::ERR_CERT_DATE_INVALID Sertifikāta derīguma termiņš ir beidzies, tas vēl nav derīgs vai sistēmas pulkstenis ir nepareizs.
Chrome pēc importēšanas joprojām rāda sertifikāta brīdinājumu Chrome pašreizējam lietotājam izmanto citu NSS datubāzi vai sertifikāta uzticamības karodziņi ir nepareizi.