Zabbix Documentation 5.0

3.04.05.0 (current)| In development:5.2 (devel)| Unsupported:1.82.02.22.43.23.44.24.4Guidelines

User Tools

Site Tools


pt:manual:encryption

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision
Previous revision
pt:manual:encryption [2015/12/29 20:19]
spaww removed
pt:manual:encryption [2019/10/07 06:35] (current)
Line 1: Line 1:
-FIXME **Esta página não está totalmente traduzida. Qualquer ajuda para completar a tradução é bem-vinda.**\\ //(remover este parágrafo assim que a tradução estiver finalizada)//​ 
- 
 ====== 16. Criptografia ====== ====== 16. Criptografia ======
  
 === Visão geral === === Visão geral ===
  
-Zabbix ​supports encrypted communications between ​Zabbix server, Zabbix proxy, Zabbix agent, zabbix_sender and zabbix_get utilities using Transport Layer Security (TLS) protocol v.1.2. Encryption is supported starting with Zabbix 3.0. Certificate-based and pre-shared key-based encryption is supported.+Zabbix ​suporta comunicação criptografada entre os seus componentes (Zabbix server/​Proxy/​Agent/​Sender/​get) através de TLS v1.2. O suporte a criptografia começou no Zabbix 3.0. A criptografia baseada em PSK e certificado também é suportada.
  
-Encryption is optional and configurable for individual components (e.g. some proxies ​and agents can be configured to use certificate-based encryption with the serverwhile others can use pre-shared key-based encryptionand yet others continue with unencrypted communications as before).+A criptografia é opcional ​configurável para cada componente (exalguns ​proxies ​e agentes podem estar configurados para utilizar criptografia com certificados ao falar com o Serverenquanto outros utilizam PSKe outros não usam criptografia).
  
-Server (proxy) can use different encryption configurations for different ​hosts.+proxy pode utilizar diferentes configurações de criptografia para diferentes ​hosts.
  
-Zabbix ​daemon programs use one listening port for encrypted and unencrypted incoming connectionsAdding an encryption does not require opening new ports on firewalls.+Os daemons do Zabbix ​utilizam uma porta para escutar comunicações criptografadas ou não criptografiaAdicionar a criptografia não exigirá a abertura de novas portas nos firewalls.
  
-=== Compiling ​Zabbix ​with encryption support ​===+=== Compilando o Zabbix ​com o suporte a criptografia ​===
  
-To support encryption ​Zabbix ​must be compiled and linked with one of three crypto libraries+Para suportar a criptografia do Zabbix ​você precisa compilar e associar com uma destas três bibliotecas
-  * mbed TLS (formerly ​PolarSSL)(version ​1.3.9 and laterbut mbed TLS 2.x is not currently supported+  * mbed TLS (antigamente ​PolarSSL)(a partir da versão ​1.3.9, ​mas o mbed TLS 2.x não é suportado atualmente
-  * GnuTLS (from version ​3.1.18) +  * GnuTLS (a partir da versão ​3.1.18) 
-  * OpenSSL (from version ​1.0.1)+  * OpenSSL (a partir da versão ​1.0.1)
  
-The library is selected by specifying an option to "​configure" ​script:+A biblioteca é selecionada através de parâmetro no script ​de configuração:
   * ''<​nowiki>​--with-mbedtls[=DIR]</​nowiki>''​   * ''<​nowiki>​--with-mbedtls[=DIR]</​nowiki>''​
   * ''<​nowiki>​--with-gnutls[=DIR]</​nowiki>''​   * ''<​nowiki>​--with-gnutls[=DIR]</​nowiki>''​
   * ''<​nowiki>​--with-openssl[=DIR]</​nowiki>''​   * ''<​nowiki>​--with-openssl[=DIR]</​nowiki>''​
  
-For exampleto configure the sources for server and agent with OpenSSL ​you may run something like:\\+Por exemplopara configurar os fontes do servidor edo agente com OpenSSL ​você pode executar algo assim:\\
   ./configure --enable-server --enable-agent --with-mysql --enable-ipv6 --with-net-snmp --with-libcurl --with-libxml2 --with-openssl   ./configure --enable-server --enable-agent --with-mysql --enable-ipv6 --with-net-snmp --with-libcurl --with-libxml2 --with-openssl
  
-Different ​Zabbix ​components may be compiled with different crypto libraries ​(e.g. a server with OpenSSL, ​an agent with GnuTLS).+Diferentes componentes do Zabbix ​podem ser compilados com diferentes bibliotecas criptográficas ​(exum servidor com OpenSSL, ​um agente com GnuTLS).
  
 <note important>​ <note important>​
-If you plan to use pre-shared keys (PSK) consider using GnuTLS ​or mbed TLS libraries in Zabbix ​components using PSKs. GnuTLS ​and mbed TLS libraries support ​PSK ciphersuites with [[https://​en.wikipedia.org/​wiki/​Forward_secrecy#​Perfect_forward_secrecy_.28PFS.29|Perfect Forward Secrecy]]. OpenSSL ​library ​(versions ​1.0.1, 1.0.2c) ​does support PSKs but available ciphersuites do not provide Perfect Forward Secrecy.+Se você planejar utilizar ​PSK, considere a utilização das bibliotecas ​GnuTLS ​ou mbed TLS nos componentes ​Zabbix ​usando ​PSKs. As bibliotecas ​GnuTLS ​mbed TLS PSK suportam a suite de cifras com [[https://​en.wikipedia.org/​wiki/​Forward_secrecy#​Perfect_forward_secrecy_.28PFS.29|Perfeito encaminhamento de segredo]]. A biblioteca ​OpenSSL (versões ​1.0.1, 1.0.2c) ​suporta o PSK mas não tem disponível as suítes de cifras que provejam o perfeito encaminhamento de segredo.
 </​note>​ </​note>​
-=== Connection encryption management ​===+=== Gerenciamento de conexão criptografada ​===
  
-Connections in Zabbix ​can use+As conexões do Zabbix ​podem usar
-  * no encryption ​(default) +  * nenhuma criptografia ​(default) 
-  * PSK-based encryption +  * criptografia baseada em PSK 
-  * certificate-based encryption.+  * criptografia baseada em certificado
  
-There are two important parameters used to specify encryption for connections between ​Zabbix ​components:+Existem dois parâmetros importantes utilizados para especificar a criptografia de conexões entre os componentes do Zabbix:
   * ''​TLSConnect''​   * ''​TLSConnect''​
   * ''​TLSAccept''​   * ''​TLSAccept''​
  
-''​TLSConnect'' ​specifies what encryption to use for outgoing connections and can take __one of 3__ values ​(''​unencrypted'',​ ''​PSK'',​ ''​certificate''​). +''​TLSConnect'' ​define qual criptografia a utilizar nas conexões de saída e pode pegar 1 de 3 valores ​(''​unencrypted'',​ ''​PSK'',​ ''​certificate''​). 
-''​TLSConnect'' ​is used in configuration files for Zabbix proxy (in active modeand Zabbix agentd (for active checks). In Zabbix frontend the ''​TLSConnect'' ​equivalent is "Connections to host" ​field in "Configuration->​Hosts-><​some host>->​Encryption tab" ​and "Connections to proxy" ​field in "​Administration->​Proxies-><​some proxy>->​Encryption" ​tab+''​TLSConnect'' ​é utilizado em arquivos de configuração do Zabbix proxy (em modo ativoe do Zabbix agentd (para verificações ativas). Na interface web o ''​TLSConnect'' ​é equivalente ao campo "Conexões com o host" ​em "//​Configuração ​-> Hosts -><​some host>" ​aba **Criptografia** e o campo "Conexões com o proxy" ​em //​Administração->​Proxies-><​some proxy>" ​aba **Criptografia**
-If the configured encryption type for connection failsno other encryption types will be tried.+Se um tipo de conexão criptografada falharnão será tentado outro tipo.
  
-''​TLSAccept'' ​specifies what types of connections are allowed for incoming connections and can take __any combination of 3__ values (''​unencrypted'',​ ''​PSK'',​ ''​certificate''​)+''​TLSAccept'' ​define quais tipos de conexão de entrada serão permitidos. Tipos possíveis: ​''​unencrypted'',​ ''​PSK'',​ ''​certificate''​. Podem ser definidos 1 ou mais valores
-''​TLSAccept'' ​is used in configuration files for Zabbix ​proxy (in passive modeand Zabbix agentd ​(for passive checks). In Zabbix ​frontend the ''​TLSAccept'' ​equivalent is "Connections from host" ​field in "Configuration->​Hosts-><​some host>->​Encryption" ​tab and "Connections from proxy" ​field in "​Administration->​Proxies-><​some proxy>->​Encryption" ​tab.+''​TLSAccept'' ​é utilizado em arquivos de configuração do proxy (em modo passivoe do agente ​(em modo passivo). Na interface web do Zabbix ​o  ​''​TLSAccept'' ​é equivalente ao campo "Conexões com o host" ​em "//​Configuração ​-> Hosts -><​some host>" ​aba **Criptografia** e o campo "Conexões com o proxy" ​em //​Administração->​Proxies-><​some proxy>" ​aba **Criptografia**.
  
-Normally you configure only one type of encryption for incoming encryptionsBut you may want to switch encryption typee.g. from unencrypted to certificate-based with minimum ​downtime ​and rollback possibilityTo achieve this you can set ''​TLSAccept=unencrypted,​cert'' ​in agentd configuration file and restart Zabbix agentThen you can test connection with ''​zabbix_get'' ​to the agent using certificateIf it worksyou can reconfigure encryption for that agent in Zabbix ​frontend in "​Configuration->​Hosts-><​some host>​->​Encryption tab" by setting "​Connections to host" to "​Certificate"​When server configuration ​cache gets updated ​(and proxy configuration is updated if the host is monitoring by proxy) ​then connections to that agent will be encrypted. If everything works as expected you can set ''​TLSAccept=cert'' ​in agent configuration file and restart Zabbix agent. Now the agent will be accepting only encrypted certificate-based connectionsUnencrypted and PSK-based connections will be rejected.+Normalmente você configura somente um tipo de criptografia para as conexões de entradaMas você pode precisar alterar o tipo de criptografia(exde não criptografado para criptografia baseada em certificados) com o mínimo de 'downtime' e possibilidade de rápido retornoPara fazer isso defina ​''​TLSAccept=unencrypted,​cert'' ​no arquivo de configuração do agente o o reinicieEntão você poderá testar a conexão com o ''​zabbix_get'' ​com o agente usando certificadoSe funcionarvocê reconfigura a criptografia daquele agente na interface web do Zabbix, configurando para o uso de certificadoQuando o cache de comunicação do servidor for atualizado ​(e a configuração do proxy for atualizada se o proxy estiver sendo monitorado por um) as conexões começarão a ocorrer de forma criptografa. Se tudo estiver funcionando como o esperado você pode configurar ​''​TLSAccept=cert'' ​na configuração do agente e reinicia-loAgora o agente vai aceitar apenas conexões criptografadas e com certificado. Comunicações sem criptografia ou baseadas em PSK serão rejeitadas.
  
-In a similar ​way it works on server and proxyIf in Zabbix frontend in host configuration "​Connections from host" is set to "​Certificate"​ then only certificate-based encrypted connections will be accepted from agent (active checksand ''​zabbix_sender''​ (trapper items).+A configuração funciona de forma similar ​entre o Zabbix Server/​ProxySe o host estiver configurado para usar certificado,​ então apenas comunicações criptografadas com certificados serão aceitas pelo agente ​(verificações ativase pelo ''​zabbix_sender''​ (trapper items).
  
-Most likely you will configure incoming and outgoing connections to use the same encryption type or no encryption at allBut technically it is possible to configure it asymmetricallye.g. certificate-based encryption for incoming and PSK-based for outgoing connections.+Provavelmente você irá configurar para que as comunicações de entrda e de saída ocorram com o mesmo tipo de criptografia ou sem criptografia para todosMas é tecnicamente possível configurar isso de forma assimétricaexcriptografia com certificados para entrada e com PSK para a saída.
  
-For overviewencryption configuration for each host is displayed in Zabbix ​frontend ​"Configuration->​Hosts"​ on the right side, in column "​ENCRYPTION (IN / OUT)".+Para uma visão gerala configuração de criptografia de cada host será apresentada na interface do Zabbix ​no canto direito da listagem de hosts na coluna ​"Criptografia do agente".
  
 <note important>​ <note important>​
-Default is unencrypted connectionsEncryption must be configured for each host and proxy individually.+O padrão sao conexões não criptografadasA criptografia precisa ser configurada em cada host proxy individualmente.
 </​note>​ </​note>​
  
-=== Using certificates ​===+=== Usando certificados ​===
  
-Zabbix ​can use certificates in PEM formatsigned by a certificate authority (CA)Certificate verification is done against pre-installed ​CA certificateSelf-signed certificates are not supportedOptionally a certificate revocation lists (CRL) can be usedEach Zabbix ​component can have only one certificate configuredChoosing between multiple certificates is not supported.+Zabbix ​pode utilizar certificados no formato ​PEM, assinados por uma CA. A verificação de certificado é feita através de um certificado ​CA pré-instaladoCertificados auto-assinados não são suportadosOpcionalmente uma lista de certificados revogados poderá ser utilizadaCada componente ​Zabbix ​deverá ter apenas um certificado configuradoA escolha entre múltiplos certificados não é suportada.
  
-For more information how to set up and operate internal ​CA, how to generate certificate requests and sign themhow to revoke certificates you can find numerous how-to'​s in internet, ​for example, ​[[http://​pki-tutorial.readthedocs.org/​en/​latest/​|OpenSSL PKI Tutorial v1.1]]+Para mais informações sobre como configurar e operação interna da CA, como gerar as requisições de certificados e assina-lascomo revogar certificados você encontrará em inúmeros sites da internet, ​por exemplo: ​[[http://​pki-tutorial.readthedocs.org/​en/​latest/​|OpenSSL PKI Tutorial v1.1]]
  
-== Certificate configuration parameters ​==+== Parâmetros de configuração do certificado ​==
  
-^Parameter^Mandatory^Description+^Parâmetro^Obrigatório^Descrição
-|//​TLSCAFile// ​   Full pathname of a file containing the top-level CA(s) certificates for peer certificate verification. In case of certificate chain with several members they must be ordered: lower level CA certificates first followed by certificates of higher level CA(s). Certificates from multiple CA(s) can be included in single file. | +|//​TLSCAFile//​| * |Caminho completo do arquivo contendo os certificados raiz (CA) para verificação dos certificados entre as partes, utilizado para comunicações criptografadas entre os componentes do ZabbixCertificados de várias CAs deverão ser incluídos em uma única linha. | 
-|//​TLSCRLFile//​ |     ​Full pathname of a file containing revoked certificatesIf the file defined by TLSCAFile ​parameter contains several ​CAs and Zabbix ​component is compiled with OpenSSL ​and TLSCRLFile ​is defined then every CA mentioned in TLSCAFile ​must have a corresponding ​CRL (it can be empty CRL) in TLSCRLFile+|//​TLSCertFile//​| * |Caminho completo para o arquivo contendo o certificado de agente ou cadeia de certificados. | 
-|//​TLSCertFile// ​ ​*  ​Full pathname of a file containing certificate (certificate chain). | +|//​TLSCRLFile//​| ​|Caminho completo para o arquivo contendo os certificados revogados, utilizado para comunicações criptografadas entre os componentes do ZabbixSe o arquivo definido em TLSCAFile ​contiver várias ​CAs e o componente ​Zabbix ​for compilado com OpenSSL ​TLSCRLFile ​estiver definido, cada CA mencionada em TLSCAFile ​deverá ter um correspondente ​CRL (que pode ser um CRL vaziono TLSCRLFile | 
-|//​TLSKeyFile// ​ ​| ​ ​*  ​Full pathname of file containing private key. Set access rights to this file - it must be readable only by Zabbix user. | +TLSKeyFilenão |  | |Caminho completo para o arquivo contendo ​chave privada do agenteVerifique se o permissionamento do arquivo permite que o usuário '​zabbix'​ o leia 
-|//TLSServerCertIssuer//       ​Allowed ​server ​certificate issuer.  ​+| TLSServerCertIssuer| ​|Emissor de certificado autorizado do server ​(proxy) ​
-|//TLSServerCertSubject//  ​    ​Allowed ​server ​certificate subject. | +| TLSServerCertSubject| ​|Destino do certificado permitido pelo server (proxy|
-===  Using pre-shared keys (PSK===+
  
-In Zabbix each PSK actually is a pair of: +===  Usando pre-shared keys (PSK) ===
-  * non-secret PSK identity string, +
-  * secret string ​(PSK value).+
  
-PSK identity string is a non-empty UTF-8 string. +No Zabbix cada PSK atualmente é um par de: 
-For example"PSK ID 001 Zabbix agentd"​. It is a unique name by which this specific PSK is referred to by Zabbix components. Do not put sensitive information in PSK identity string - it is transmitted unencrypted over network.+  * identidade não secreta PSK (texto), 
 +  * texto secreto (valor ​PSK).
  
-PSK value is a hard to guess string of hexadecimal digits, for example, "e560cb0d918d26d31b4f642181f5f570ad89a390931102e5391d08327ba434e9".+A identidade ​PSK é um texto não vazio no formato UTF-8. 
 +Por exemplo, "PSK ID 001 Zabbix agentd". É o nome único com o qual este PSK específico será referenciado pelos componentes do Zabbix. Não coloque informação sensível na identidade PSK - ela será transmitida de forma não criptografada pela rede.
  
-There are maximum size limits for PSK identity and value in Zabbixin some cases a crypto library can have lower limit:+O valor PSK é mais difícil de adivinhar por ser um texto hexadecimalpor exemplo, "​e560cb0d918d26d31b4f642181f5f570ad89a390931102e5391d08327ba434e9"​.
  
-^Component^Max PSK identity size^Max PSK value size+Aqui temos um tamanho máximo para a identidade e para o valor PSK no Zabbix, em alguns casos a biblioteca de criptografia tem um valor menor: 
-|//Zabbix// |128 UTF-8 characters|2048-bit (256-byte PSK, entered as 512 hexadecimal digits)| + 
-|//GnuTLS// |128 bytes (may include UTF-8 characters)|2048-bit (256-byte PSK, entered as 512 hexadecimal digits)| +^Componente^Tamannho da identidade ​PSK^Tamanho do valor PSK^ 
-|//mbed TLS (PolarSSL)//​ |128 UTF-8 characters |256-bit (default limit) (32-byte PSK, entered as 64 hexadecimal digits)| +|//Zabbix// |128 UTF-8 characteres|2048-bit (256-byte PSK, informado como 512 digitos hexadecimais)| 
-|//​OpenSSL//​ |127 bytes (may include ​UTF-8 characters)|2048-bit (256-byte PSK, entered as 512 hexadecimal digits)|+|//GnuTLS// |128 bytes (may include UTF-8 characteres)|2048-bit (256-byte PSK, informado como 512 digitos hexadecimais)| 
 +|//mbed TLS (PolarSSL)//​ |128 UTF-8 characters |256-bit (limite padrão) (32-byte PSK, informado como 64 digitos hexadecimais)| 
 +|//​OpenSSL//​ |127 bytes (pode incluri caracteres ​UTF-8)|2048-bit (256-byte PSK, informado como 512 digitos hexadecimais)|
  
  
 <note important>​ <note important>​
-Zabbix ​frontend allows configuring up to 128-character long PSK identity string and 2048-bit ​long PSK regardless of crypto libraries usedIf some Zabbix ​components support lower limits it is a user responsibility to configure ​PSK identity and value with allowed length for these components+A interface web do Zabbix ​permite configurar identidades PSK de até 128 caracteres e até 2048-bit ​sem o uso das bibliotecas ​PSK. Se algum componente do Zabbix ​suportar valores menores é de responsabilidade do usuário configura ra identidade e valor PSK de forma que ambos o aceitem
-Exceeding length limits results in communication failures between Zabbix components.+Exceder o limite de tamanho resultará em falha de comunicação.
 </​note>​ </​note>​
  
-Before ​Zabbix ​server connects to agent using PSK, the server looks up the PSK identity and PSK value configured for that agent in database ​(actually in configuration ​cache). ​Upon receiving ​connection the agent uses PSK identity and PSK value from its configuration fileIf both parties have the same PSK identity string and PSK value the connection may succeed.+Antes do Zabbix ​Server se conectar com o agente usando ​PSK, o servidor analisa a identidade e valor PSK configurados para aquele agente no banco de dados (ou no cache de configuração). Após receber ​conexão do agente, ele usa a identidade e valor PSK de sua configuraçãoSe ambas as partes tiverem o mesmo conjunto a conexão será estabelecida.
  
 <note important>​ <note important>​
-It is a user responsibility to ensure that there are no two PSKs with the same identity string but different values. Failing to do so may lead to unpredictable disruptions of communication between Zabbix components using PSKs with this PSK identity string.+É de responsabilidade ​do usuário garantir que não existam duas chaves ​PSK com o mesmo conteúdo, mas com valores diferentes. Isso poderá causar interrupções imprevisíveis de comunicação entre os componentes.
 </​note>​ </​note>​
  
-==  ​Configuring ​PSK for server-agent ​communication ​(basic example) ==+==  ​Configurando ​PSK para a comunicação ​server-agent (exemplo básico) ==
  
-On agent host write PSK value into filefor example, ''/​home/​zabbix/​zabbix_agentd.psk''​. +No host do agente salve o valor PSK em um arquivopor exemplo, ''/​home/​zabbix/​zabbix_agentd.psk''​. 
-The file must contain ​PSK in the first text stringfor example:+O arquivo precisa conter o PSK em sua primeira linhapor exemplo:
   1f87b595725ac58dd977beef14b97461a7c1045b9a1c963065002c5473194952   1f87b595725ac58dd977beef14b97461a7c1045b9a1c963065002c5473194952
   ​   ​
-Set access rights to PSK file - it must be readable only by Zabbix ​user.+Defina o permissionamento do arquivo, somente o usuário ​Zabbix ​deverá conseguir lê-lo.
  
-Edit TLS parameters in agent configuration file ''​zabbix_agentd.conf''​, for example, set:+Edite os parâmetros de TLS no arquivo de configuração do agente ​''​zabbix_agentd.conf'':​
   TLSConnect=psk   TLSConnect=psk
   TLSAccept=psk   TLSAccept=psk
Line 123: Line 122:
   TLSPSKIdentity=PSK 001   TLSPSKIdentity=PSK 001
   ​   ​
-The agent will connect to server ​(active checksand accept from server and ''​zabix_get'' ​only connections using PSK. PSK identity will be "PSK 001".+O agente irá se conectar com o servidor ​(verificação ativae aceitará do servidor e do ''​zabix_get'' ​apenas conexões usando ​PSK. Neste caso a identidade ​PSK será "PSK 001".
  
-Restart the agentNow you can test a connection using ''​zabbix_get''​, for example:+Reinicie o agenteAgora você pode fazer um teste de conexão utilizando o ''​zabbix_get'':​
   zabbix_get -s 127.0.0.1 -k "​system.cpu.load[all,​avg1]"​ --tls-connect=psk --tls-psk-identity="​PSK 001" --tls-psk-file=/​home/​zabbix/​zabbix_agentd.psk   zabbix_get -s 127.0.0.1 -k "​system.cpu.load[all,​avg1]"​ --tls-connect=psk --tls-psk-identity="​PSK 001" --tls-psk-file=/​home/​zabbix/​zabbix_agentd.psk
   ​   ​
-(To minimize downtime see how to change connection type in [[manual:​encryption?&#​connection_encryption_management|Connection encryption management]]).+(Para minimizar o tempo de indisponibilidade veja como mudar o tipo de conexão em [[manual:​encryption?&#​connection_encryption_management|gerenciamento de conexão criptografada]]).
  
-Configure PSK for this host in Zabbix ​frontendGo to "​Configuration->Hosts", select the host, go to "​Encryption"​ tab. +Configure ​PSK para este host na interface web do Zabbix. ​ 
-Set "​Connections to host" to ''​PSK''​. In "​Connections from host" mark ''​PSK''​. Paste into "PSK identity"​ field "PSK 001" ​and +  * Acesse //​Configuração ​-> Hosts// 
-"​1f87b595725ac58dd977beef14b97461a7c1045b9a1c963065002c5473194952" ​into "​PSK"​ field. Click "​Update"​.+  * Selecione o host desejadoclique em seu nome 
 +  * Clique na aba **Criptografia** 
 +  * Defina o campo //Conexões com o host// para //PSK// 
 +  * Em //Conexões do host// marque a opção //PSK// 
 +  * No campo //​Identidade ​PSK// Informe o valor "PSK 001" 
 +  * No campo //PSK// Informe o valor "​1f87b595725ac58dd977beef14b97461a7c1045b9a1c963065002c5473194952" ​ 
 +  * Clique no botão //​Atualizar//​
  
-When configuration ​cache is synchronized with database the new connections will use PSK. +Após a atualização do cache de configuração do Zabbix Server/​Proxy as comunicações começarão a ocorrer através de conexões criptografadas com PSK. Eventuais erros podem ser localizados tanto no log do agente quanto no log do servidor
-Check server and agent logfiles for error messages.+
  
 +==  Configurando o PSK para comunicação entre Zabbix Server e Zabbix Proxy (ativo) (exemplo básico) ==
  
-==  Configuring ​PSK for server - active ​proxy communication (basic example) == +Salve o arquivo de valor PSK do proxy em um arquivopor exemplo, ''/​home/​zabbix/​zabbix_proxy.psk''​. 
- +O arquivo precisa conter o valor em sua primeira linha:
-On proxy write PSK value into filefor example, ''/​home/​zabbix/​zabbix_proxy.psk''​. +
-The file must contain PSK in the first text string, for example:+
   e560cb0d918d26d31b4f642181f5f570ad89a390931102e5391d08327ba434e9   e560cb0d918d26d31b4f642181f5f570ad89a390931102e5391d08327ba434e9
   ​   ​
-Set access rights to PSK file - it must be readable only by Zabbix ​user.+Defina o permissionamento do arquivo, somente o usuário ​Zabbix ​deverá conseguir lê-lo.
  
-Edit TLS parameters in proxy configuration file ''​zabbix_proxy.conf''​, for example, set:+Edite os parâmetros de TLS no arquivo de configuração do agente ​''​zabbix_proxy.conf'':​
   TLSConnect=psk   TLSConnect=psk
   TLSPSKFile=/​home/​zabbix/​zabbix_proxy.psk   TLSPSKFile=/​home/​zabbix/​zabbix_proxy.psk
   TLSPSKIdentity=PSK 002   TLSPSKIdentity=PSK 002
-  ​ 
-The proxy will connect to server using PSK. PSK identity will be "PSK 002". 
  
-(To minimize downtime see how to change connection type in [[manual:​encryption?&#​connection_encryption_management|Connection encryption management]]).+O proxy vai se conectar ao servidor usando PSK e a identidade PSK será "PSK 002".
  
-Configure PSK for this proxy in Zabbix frontend. Go to "​Administration->​Proxies",​ select the proxy, go to "​Encryption"​ tab. +(Para minimizar o tempo de indisponibilidade veja como mudar o tipo de conexão em [[manual:​encryption?&#​connection_encryption_management|gerenciamento de conexão criptografada]]).
-In "​Connections from proxy" mark ''​PSK''​. Paste into "PSK identity"​ field "PSK 002" and +
-"​e560cb0d918d26d31b4f642181f5f570ad89a390931102e5391d08327ba434e9"​ into "​PSK"​ field. Click "​Update"​.+
  
-Restart ​proxy. ​It will start using PSK-based encrypted connections to server. +Configure o PSK para este proxy na interface web do Zabbix 
-Check server and proxy logfiles for error messages.+  * Acesse //​Administração ​-> Proxies// 
 +  * Selecione o proxy desejado, clique em seu nome 
 +  * Clique na aba **Criptografia** 
 +  * Em //Conexões do proxy// marque a opção //PSK// 
 +  * No campo //​Identidade PSK// Informe o valor "PSK 002" 
 +  * No campo //PSK// Informe o valor "​e560cb0d918d26d31b4f642181f5f570ad89a390931102e5391d08327ba434e9"​  
 +  * Clique no botão //​Atualizar//​
  
-For passive ​proxy the procedure is very similarThe only difference - set ''​TLSAccept=psk''​ in proxy configuration file and set "​Connections to proxy" in Zabix frontend to ''​PSK''​+Reinicie o proxy. ​Ele irá se comunicar com o servidor usando conexão criptografada baseada em PSK. 
-=== Limitations ===+Verifique os logs do proxy e do server por mensagens de erro.
  
-  * Private keys are stored in plain text in files readable by Zabbix components during startup. +Para proxies passivos o processo é muito similara única diferença é que tem que se configurar o parâmetro ''​TLSAccept=psk''​ no arquivo de configuração do proxy e definr o campo //Conexões com o proxy// na interface web do Zabbix ​para ''​PSK''​.
-  * Pre-shared keys are entered in Zabbix frontend and stored in Zabbix database in plain text. +
-  * Encryption does not protect communications:​ +
-     * between web server running Zabbix frontend and user web browser, +
-     * between Zabbix server (proxy) and Zabbix ​database.+
  
-=== Troubleshooting ​===+=== Limitações === 
 + 
 +  * As chaves privadas são armazenadas em texto plano e os arquivos são possíveis de leitura pelos componentes do Zabbix durante sua inicialização. 
 +  * PSK informadas na interface web do Zabbix são salvas no banco de dados em texto plano. 
 +  * A criptografia não garante as comunicações:​ 
 +     * entre o servidor web e o navegador do usuário, 
 +     * entre o Zabbix Server (ou proxy) e seu banco de dados. 
 + 
 +=== Soluções de problemas ​===
  
 ''​gnutls_handshake() failed: -110 The TLS connection was non-properly terminated.''​ in TLS client side log.\\ ''​gnutls_handshake() failed: -110 The TLS connection was non-properly terminated.''​ in TLS client side log.\\
 ''​gnutls_handshake() failed: -90 The SRP username supplied is illegal.''​ in TLS server side log. ''​gnutls_handshake() failed: -90 The SRP username supplied is illegal.''​ in TLS server side log.
  
-Possible cause: PSK identity string longer than 128 bytes is passed to GnuTLS. +Causa possívelIdentidade ​PSK maior que 128 informada para a biblioteca ​GnuTLS.
  
 ''​ssl_set_psk():​ SSL - Bad input parameters to function''​ ''​ssl_set_psk():​ SSL - Bad input parameters to function''​
  
-Possible cause: PSK longer than 32 bytes is passed to mbed TLS (PolarSSL) +Causa possível: PSK maior que 32 bytes informada para a biblioteca  ​mbed TLS (PolarSSL)