Zabbix基于cert證書加密數(shù)據(jù)傳輸
點(diǎn)擊上方“IT那活兒”公眾號(hào),關(guān)注后了解更多內(nèi)容���,不管IT什么活兒�,干就完了?����。?!在使用zabbix監(jiān)控的時(shí)候,默認(rèn)的傳輸方式是沒有加密�,但是為了數(shù)據(jù)安全,防止數(shù)據(jù)泄漏����,可以對zabbix的數(shù)據(jù)傳輸進(jìn)行加密。Zabbix從3.0開始支持傳輸層安全性(TLS)協(xié)議v.1.2加密����,在Zabbix服務(wù)器,Zabbix代理���,Zabbix代理,zabbix_sender和zabbix_get實(shí)用程序之間進(jìn)行加密通信��,支持基于證書PSA和基于預(yù)共享密鑰PSK的加密�。
加密對于各個(gè)組件是可選配置,Zabbix_Proxy到Zabbix Server之間可以基于證書加密或者基于預(yù)共享密鑰加密��。- 基于證書PSA的加密(常用與Zabbix_Proxy但不局限于Proxy)
- 基于預(yù)共享密鑰PSK的加密(常用與Zabbix_Agent但不局限于Agent)
準(zhǔn)備工作:
這里只說明zabbix-agent -> Zabbix-server的監(jiān)控方式加密。1. 在配置加密傳輸?shù)臅r(shí),要先準(zhǔn)備自建CA證書
1.1 首先創(chuàng)建根證書CA所需要的目錄和文件
# cd /etc/pki/CA
# mkdir -pv {certs,crl,newcerts,private} #有則無需創(chuàng)建
# touch {serial,index.txt}
# echo 01 >> serial # 指明證書開始編號(hào)
1.2 自簽私有CA證書
(umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
生成自簽證書����,即根證書CA,自簽證書的存放位置也要與配置文件中設(shè)置相匹配����,生成證書時(shí)需要填寫相應(yīng)信息。openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA /cacert.pem -days 9999
1.3 生成zabbix-server和zabbix-agent的ca證書
(umask 077; openssl genrsa -out /etc/pki/CA/private/server.key 2048)
openssl req -new -key server.key -out server.csr -days 9999
openssl ca -in /etc/pki/CA/private/server.csr -out /etc/pki/CA/certs/server.crt -days 3650
按照上面操作���,繼續(xù)生成zabbix-agent所需要的ca證書(步驟一樣���,過程略)。2. 配置zabbix-server�,開啟證書認(rèn)證
在zabbix-server服務(wù)目錄,創(chuàng)建一個(gè)zabbix_ca_file的目錄����,用于存放證書文件��。在Zabbix server配置文件中編輯TLS參數(shù)����,如下所示:TLSCAFile=/data/zabbix-server/zabbix_ca_file/cacert.pem
TLSCertFile=/data/zabbix-server/zabbix_ca_file/server.crt
TLSKeyFile=/data/zabbix-server/zabbix_ca_file/server.key
配置agent配置文件���,TLS參數(shù)可能如下所示:TLSConnect=cert
TLSAccept=cert
TLSCAFile=/data/zabbix-server/zabbix_ca_file/cacert.pem
TLSCertFile=/data/zabbix-server/zabbix_ca_file/agent.crt
TLSKeyFile=/data/zabbix-server/zabbix_ca_file/agent.key
3. 重啟zabbix-server和zabbix-agent���,在前端配置證書模式
在zabbix前端��,選擇主機(jī)�����,在加密中選擇證書�����。等待一段時(shí)間后,可以在可用性和agent加密看到cert顏色變綠 ���,就表示證書應(yīng)用成功了�����。查看最新數(shù)據(jù)��,數(shù)據(jù)采集正常�。本文作者:諶 鵬(上海新炬王翦團(tuán)隊(duì))
文章版權(quán)歸作者所有���,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請注明本文地址:http://m.hztianpu.com/yun/129362.html
