На странице
3 Устранение неполадок
Общие рекомендации
- Начните с понимания того, какой компонент выступает в роли TLS-клиента, а какой — в роли TLS-сервера в проблемном случае.
Zabbix сервер, прокси и агенты, в зависимости от взаимодействия между ними, могут работать как TLS-серверы и клиенты.
Например, Zabbix сервер, подключаясь к агенту для пассивной проверки, выступает в роли TLS-клиента. Агент при этом находится в роли TLS-сервера.
Zabbix агент, запрашивая список активных проверок у прокси, выступает в роли TLS-клиента. Прокси при этом находится в роли TLS-сервера.
Утилитыzabbix_getиzabbix_senderвсегда выступают в роли TLS-клиентов. - Zabbix использует взаимную аутентификацию.
Каждая сторона проверяет своего партнера и может отклонить соединение.
Например, Zabbix сервер, подключаясь к агенту, может немедленно закрыть соединение, если сертификат агента недействителен. И наоборот — Zabbix агент, принимая соединение от сервера, может закрыть соединение, если сервер не является доверенным для агента. - Изучите журналы на обеих сторонах — у TLS-клиента и TLS-сервера.
Сторона, которая отклоняет соединение, может записать точную причину отказа. Другая сторона часто сообщает лишь об общей ошибке (например, "Connection closed by peer", "connection was non-properly terminated"). - Иногда неправильно настроенное шифрование приводит к запутанным
сообщениям об ошибках, которые никак не указывают на реальную причину.
В подразделах ниже мы пытаемся привести подборку сообщений и возможных причин (далеко не исчерпывающую), которая может помочь в устранении неполадок.
Обратите внимание, что разные криптографические библиотеки (OpenSSL, GnuTLS) часто выдают разные сообщения об ошибках в одинаковых проблемных ситуациях.
Иногда сообщения об ошибках зависят даже от конкретного сочетания криптографических библиотек на обеих сторонах.