На странице
3 Устранение неполадок
Общие рекомендации
- Начните с понимания того, какой компонент в проблемной ситуации выступает как TLS-клиент, а какой — как TLS-сервер.
Сервер Zabbix, прокси и агенты, в зависимости от взаимодействия между ними, могут работать как TLS-серверы и как TLS-клиенты.
Например, сервер Zabbix, подключаясь к агенту для пассивной проверки, выступает как TLS-клиент. Агент при этом находится в роли TLS-сервера.
Агент Zabbix, запрашивая список активных проверок у прокси, выступает как TLS-клиент. Прокси при этом находится в роли TLS-сервера.
Утилитыzabbix_getиzabbix_senderвсегда выступают как TLS-клиенты. - Zabbix использует взаимную аутентификацию.
Каждая сторона проверяет своего партнера и может отклонить соединение.
Например, сервер Zabbix, подключаясь к агенту, может немедленно закрыть соединение, если сертификат агента недействителен. И наоборот — агент Zabbix, принимая соединение от сервера, может закрыть соединение, если сервер не является доверенным для агента. - Изучите журналы на обеих сторонах — у TLS-клиента и TLS-сервера.
Сторона, которая отклоняет соединение, может записать точную причину отказа.
Другая сторона часто сообщает лишь об общей ошибке (например, "Connection closed by peer", "connection was non-properly terminated"). - Иногда неправильно настроенное шифрование приводит к запутанным сообщениям об ошибках, которые никак не указывают на реальную причину.
В подразделах ниже мы пытаемся привести подборку сообщений и возможных причин (далеко не исчерпывающую), которая может помочь при устранении неполадок.
Обратите внимание, что разные криптографические библиотеки (OpenSSL, GnuTLS) часто выдают разные сообщения об ошибках в одних и тех же проблемных ситуациях.
Иногда сообщения об ошибках зависят даже от конкретного сочетания криптографических библиотек на обеих сторонах.