Zabbix基于cert證書(shū)加密數(shù)據(jù)傳輸
點(diǎn)擊上方“IT那活兒”公眾號(hào)��,關(guān)注后了解更多內(nèi)容����,不管IT什么活兒,干就完了?����。��?����!在使用zabbix監(jiān)控的時(shí)候���,默認(rèn)的傳輸方式是沒(méi)有加密����,但是為了數(shù)據(jù)安全,防止數(shù)據(jù)泄漏��,可以對(duì)zabbix的數(shù)據(jù)傳輸進(jìn)行加密�。Zabbix從3.0開(kāi)始支持傳輸層安全性(TLS)協(xié)議v.1.2加密,在Zabbix服務(wù)器����,Zabbix代理,Zabbix代理���,zabbix_sender和zabbix_get實(shí)用程序之間進(jìn)行加密通信��,支持基于證書(shū)PSA和基于預(yù)共享密鑰PSK的加密���。
加密對(duì)于各個(gè)組件是可選配置,Zabbix_Proxy到Zabbix Server之間可以基于證書(shū)加密或者基于預(yù)共享密鑰加密����。- 基于證書(shū)PSA的加密(常用與Zabbix_Proxy但不局限于Proxy)
- 基于預(yù)共享密鑰PSK的加密(常用與Zabbix_Agent但不局限于Agent)
今天就來(lái)說(shuō)說(shuō)基于PSA的加密方式。準(zhǔn)備工作:
這里只說(shuō)明zabbix-agent -> Zabbix-server的監(jiān)控方式加密�。1. 在配置加密傳輸?shù)臅r(shí),要先準(zhǔn)備自建CA證書(shū)
1.1 首先創(chuàng)建根證書(shū)CA所需要的目錄和文件
# cd /etc/pki/CA
# mkdir -pv {certs,crl,newcerts,private} #有則無(wú)需創(chuàng)建
# touch {serial,index.txt}
# echo 01 >> serial # 指明證書(shū)開(kāi)始編號(hào)
1.2 自簽私有CA證書(shū)
(umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
生成自簽證書(shū),即根證書(shū)CA����,自簽證書(shū)的存放位置也要與配置文件中設(shè)置相匹配���,生成證書(shū)時(shí)需要填寫(xiě)相應(yīng)信息��。openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA /cacert.pem -days 9999
1.3 生成zabbix-server和zabbix-agent的ca證書(shū)
(umask 077; openssl genrsa -out /etc/pki/CA/private/server.key 2048)
openssl req -new -key server.key -out server.csr -days 9999
頒發(fā)zabbix-server證書(shū):openssl ca -in /etc/pki/CA/private/server.csr -out /etc/pki/CA/certs/server.crt -days 3650
按照上面操作�����,繼續(xù)生成zabbix-agent所需要的ca證書(shū)(步驟一樣���,過(guò)程略)���。2. 配置zabbix-server,開(kāi)啟證書(shū)認(rèn)證
在zabbix-server服務(wù)目錄����,創(chuàng)建一個(gè)zabbix_ca_file的目錄,用于存放證書(shū)文件。Zabbix-server所需要的證書(shū)文件:在Zabbix server配置文件中編輯TLS參數(shù)�,如下所示:TLSCAFile=/data/zabbix-server/zabbix_ca_file/cacert.pem
TLSCertFile=/data/zabbix-server/zabbix_ca_file/server.crt
TLSKeyFile=/data/zabbix-server/zabbix_ca_file/server.key
配置agent配置文件,TLS參數(shù)可能如下所示:TLSConnect=cert
TLSAccept=cert
TLSCAFile=/data/zabbix-server/zabbix_ca_file/cacert.pem
TLSCertFile=/data/zabbix-server/zabbix_ca_file/agent.crt
TLSKeyFile=/data/zabbix-server/zabbix_ca_file/agent.key
3. 重啟zabbix-server和zabbix-agent�,在前端配置證書(shū)模式
在zabbix前端,選擇主機(jī)��,在加密中選擇證書(shū)�。等待一段時(shí)間后,可以在可用性和agent加密看到cert顏色變綠 ���,就表示證書(shū)應(yīng)用成功了�。查看最新數(shù)據(jù)�����,數(shù)據(jù)采集正常�����。本文作者:諶 鵬(上海新炬王翦團(tuán)隊(duì))
本文來(lái)源:“IT那活兒”公眾號(hào)
文章版權(quán)歸作者所有�����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除�。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/129362.html
