ZABBIX Forums  
  #1  
Old 02-12-2017, 17:12
Acid_Scorpion Acid_Scorpion is offline
Junior Member
 
Join Date: Jul 2015
Posts: 2
Question TLS с Let's Encrypt

Добрый день.
Есть ли кто-нибудь, кто пользуется Let's encrypt сертификатами для связи агент-сервер (не для web аутентификации)?
На данный момент на Centos 7 установлены последние версии агента и сервера (3.4).
В качестве CA используется chain.pem. Также пробовал https://letsencrypt.org/certs/letsen...rityx3.pem.txt в качестве CA. Ошибка в логе агента одна и та же:

13080:20171202:161046.641 End of zbx_tls_connect():FAIL error:'unable to get issuer certificate: SSL_connect() returned SSL_ERROR_SSL: file s3_clnt.c line 1264: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed: TLS write fatal alert "unknown CA"'

Пробовал использовать 2 этих CA в одном файле.
Тестировал также агент-сервер на одной машине. Пока без результатно.
Reply With Quote
  #2  
Old 04-12-2017, 11:45
Acid_Scorpion Acid_Scorpion is offline
Junior Member
 
Join Date: Jul 2015
Posts: 2
Default

Отвечу тогда сам

При настройке TLS соединения агент-сервер нужно скачать:
https://letsencrypt.org/certs/isrgrootx1.pem.txt
https://letsencrypt.org/certs/letsen...rityx3.pem.txt

isrgrootx1.pem.txt и letsencryptauthorityx3.pem.txt изначально имеют CRLF (windows формат), поэтому я рекомендую сделать
$ dos2unix isrgrootx1.pem.txt
$ dos2unix letsencryptauthorityx3.pem

Затем сделать цепочку сертификатов в данной последовательности. Это важно:

$ cat /etc/letsencrypt/live/<domain>/cert.pem > /usr/local/etc/fullchain.pem
$ cat letsencryptauthorityx3.pem >> /usr/local/etc/fullchain.pem

Примерная конфигурация:
TLSCAFile=/usr/local/etc/isrgrootx1.pem.txt
TLSCertFile=/usr/local/etc/fullchain.pem
TLSKeyFile=/etc/letsencrypt/live/<domain>/privkey.pem

Last edited by Acid_Scorpion; 12-12-2017 at 15:47.
Reply With Quote
Reply

Thread Tools
Display Modes

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off

Forum Jump


All times are GMT +2. The time now is 10:09.