Ad Widget

Collapse

Zabbix 3.0.2 шифрование

Collapse
X
Collapse
 
  • Page of 1
  • Time
  • Show
Clear All
new posts
Previous template Next
  • Ivan.D
    Junior Member
    • Oct 2013
    • 28
    #1

    Zabbix 3.0.2 шифрование

    Добрый день.
    Помогите разобраться с шифрованием

    собрал сервер с такой конфигурацией:
    Code:
    ./configure --enable-server --enable-agent --with-mysql --enable-ipv6 --with-net-snmp --with-libcurl --with-libxml2 --prefix=/usr/local/zabbix --with-openssl
    агента с такой:
    Code:
    ./configure --prefix=/usr/local/zabbix --enable-agent --with-mysql --enable-ipv6 --with-net-snmp --with-libcurl --with-libxml2 --with-openssl
    На странице:
    https://www.zabbix.com/documentation...g_certificates, написано "Самоподписанные сертификаты не поддерживаются."

    Получается, я не могу создать свой сертификат и зашифровать с помощью него данные?
    Tags: None
    • Ivan.D
      Junior Member
      • Oct 2013
      • 28
      #2
      Создаю корневой ключ и корневой сертификат

      Code:
      openssl genrsa -out rootCA.key 2048
openssl req -x509 -new -key rootCA.key -days 10000 -out rootCA.crt
      Создаю сертификат подписанный CA (для сервера 192.168.50.49)
      Code:
      openssl genrsa -out 192.168.50.49.key 2048
openssl req -new -key 192.168.50.49.key -out 192.168.50.49.csr
openssl x509 -req -in 192.168.50.49.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out 192.168.50.49.crt -days 5000
      Создаю сертификат подписанный CA (для агента 192.168.50.86)
      Code:
      openssl genrsa -out 192.168.50.86.key 2048
openssl req -new -key 192.168.50.86.key -out 192.168.50.86.csr
openssl x509 -req -in 192.168.50.86.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out 192.168.50.86.crt -days 5000
      Меняю владельца
      Code:
      chown -R zabbix:zabbix /usr/local/zabbix/cert/

root@zabbix:/usr/local/zabbix/cert# ls -l
total 44
-rw-r--r-- 1 zabbix zabbix 2352 Jul 12 15:38 192.168.50.49.crt
-rw-r--r-- 1 zabbix zabbix 1025 Jul 12 13:54 192.168.50.49.csr
-rw-r--r-- 1 zabbix zabbix 1679 Jul 12 13:53 192.168.50.49.key
-rw-r--r-- 1 zabbix zabbix 1176 Jul 12 14:40 192.168.50.86.crt
-rw-r--r-- 1 zabbix zabbix 1025 Jul 12 14:39 192.168.50.86.csr
-rw-r--r-- 1 zabbix zabbix 1675 Jul 12 14:38 192.168.50.86.key
-rw-r--r-- 1 zabbix zabbix 1294 Jul 12 15:35 rootCA.crt
-rw-r--r-- 1 zabbix zabbix 1679 Jul 12 13:50 rootCA.key
-rw-r--r-- 1 zabbix zabbix   17 Jul 12 14:40 rootCA.srl


      Добавляю в конфиг сервера
      Code:
      TLSCAFile=/usr/local/zabbix/cert/rootCA.crt
TLSCertFile=/usr/local/zabbix/cert/192.168.50.49.crt
TLSKeyFile=/usr/local/zabbix/cert/192.168.50.49.key

      В конфиг агента
      Code:
      TLSConnect=cert
TLSAccept=cert
TLSCAFile=/usr/local/zabbix/cert/rootCA.crt
TLSCertFile=/usr/local/zabbix/cert/192.168.50.86.crt
TLSKeyFile=/usr/local/zabbix/cert/192.168.50.86.key
      Перезапускаю сервер и агент
      В веб интерфейсе для агента устанавливаю
      Connections to host Certificate
      Connections from host Certificate

      Шифрование не заработало,
      Code:
      Get value from agent failed: TCP successful, cannot establish TLS to [[192.168.50.86]:10050]: SSL_connect() returned SSL_ERROR_SSL: file s3_pkt.c line 1256: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca: SSL alert number 48: TLS read fatal alert "unknown CA"
      тут описываются возможные проблемы
      https://www.zabbix.com/documentation...icate_problems, но конкретно своей ошибки я там не нашел.

      Неужели никто не пытался настроить шифрование?

        Comment

        • andris
          Zabbix developer
          • Feb 2012
          • 228
          #3
          Hi, Ivan!

          Excuse me for replying in English.

          .... "Самоподписанные сертификаты не поддерживаются."

          Получается, я не могу создать свой сертификат и зашифровать с помощью него данные?
          It means that Zabbix server, proxy, agentd, sender and get utilities cannot use self-signed certificates. Their certificates must be signed by some CA - and you CAN USE YOUR OWN in-house CA and most probably you will.

          Создаю корневой ключ и корневой сертификат
          Your RootCA certificate must be self-signed. Is it so ? I think "unknown CA" may be reported if your RootCA certificate is not self-signed.

          -rw-r--r-- 1 zabbix zabbix 2352 Jul 12 15:38 192.168.50.49.crt
          -rw-r--r-- 1 zabbix zabbix 1025 Jul 12 13:54 192.168.50.49.csr
          -rw-r--r-- 1 zabbix zabbix 1679 Jul 12 13:53 192.168.50.49.key
          -rw-r--r-- 1 zabbix zabbix 1176 Jul 12 14:40 192.168.50.86.crt
          -rw-r--r-- 1 zabbix zabbix 1025 Jul 12 14:39 192.168.50.86.csr
          -rw-r--r-- 1 zabbix zabbix 1675 Jul 12 14:38 192.168.50.86.key
          -rw-r--r-- 1 zabbix zabbix 1294 Jul 12 15:35 rootCA.crt
          -rw-r--r-- 1 zabbix zabbix 1679 Jul 12 13:50 rootCA.key
          -rw-r--r-- 1 zabbix zabbix 17 Jul 12 14:40 rootCA.srl
          *.key files must be with -r-------- permissions for security.


          Andris

            Comment

            • Ivan.D
              Junior Member
              • Oct 2013
              • 28
              #4
              Originally posted by andris
              Hi, Ivan!

              Excuse me for replying in English.



              It means that Zabbix server, proxy, agentd, sender and get utilities cannot use self-signed certificates. Their certificates must be signed by some CA - and you CAN USE YOUR OWN in-house CA and most probably you will.



              Your RootCA certificate must be self-signed. Is it so ? I think "unknown CA" may be reported if your RootCA certificate is not self-signed.



              *.key files must be with -r-------- permissions for security.


              Andris
              Hi, Andris!
              You was right, my certificate wasn't signed.
              Thank you.

                Comment

                Previous template Next
                Working...