资讯专栏INFORMATION COLUMN

Zabbix基于cert证书加密数据传输

IT那活儿 / 2696人阅读
Zabbix基于cert证书加密数据传输
点击上方“IT那活儿”公众号,关注后了解更多内容,不管IT什么活儿,干就完了!!!

  
在使用zabbix监控的时候,默认的传输方式是没有加密,但是为了数据安全,防止数据泄漏,可以对zabbix的数据传输进行加密。





认证介绍



Zabbix从3.0开始支持传输层安全性(TLS)协议v.1.2加密,在Zabbix服务器,Zabbix代理,Zabbix代理,zabbix_sender和zabbix_get实用程序之间进行加密通信,支持基于证书PSA和基于预共享密钥PSK的加密。

加密对于各个组件是可选配置,Zabbix_Proxy到Zabbix Server之间可以基于证书加密或者基于预共享密钥加密。





加密方式



Zabbix支持的加密方式有两种:
  • 基于证书PSA的加密(常用与Zabbix_Proxy但不局限于Proxy)
  • 基于预共享密钥PSK的加密(常用与Zabbix_Agent但不局限于Agent)
今天就来说说基于PSA的加密方式。

准备工作:

  • Zabbix_server版本:4.0.20
  • Zabbix_agent版本:4.0.20
这里只说明zabbix-agent -> Zabbix-server的监控方式加密。

1. 在配置加密传输的时,要先准备自建CA证书

1.1 首先创建根证书CA所需要的目录和文件
# cd /etc/pki/CA
# mkdir -pv {certs,crl,newcerts,private} #有则无需创建
# touch {serial,index.txt}
# echo 01 >> serial # 指明证书开始编号

1.2 自签私有CA证书

(umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
生成自签证书,即根证书CA,自签证书的存放位置也要与配置文件中设置相匹配,生成证书时需要填写相应信息。
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA /cacert.pem -days 9999


这样,自签CA证书就完成了。
1.3 生成zabbix-server和zabbix-agent的ca证书
生成zabbix-server的私钥:
(umask 077; openssl genrsa -out /etc/pki/CA/private/server.key 2048)
生成zabbix-server的公钥:
openssl req -new -key server.key -out server.csr -days 9999
颁发zabbix-server证书:
openssl ca -in /etc/pki/CA/private/server.csr -out /etc/pki/CA/certs/server.crt -days 3650


按照上面操作,继续生成zabbix-agent所需要的ca证书(步骤一样,过程略)。

2. 配置zabbix-server,开启证书认证

在zabbix-server服务目录,创建一个zabbix_ca_file的目录,用于存放证书文件。
Zabbix-server所需要的证书文件:
在Zabbix server配置文件中编辑TLS参数,如下所示:
TLSCAFile=/data/zabbix-server/zabbix_ca_file/cacert.pem
TLSCertFile=/data/zabbix-server/zabbix_ca_file/server.crt
TLSKeyFile=/data/zabbix-server/zabbix_ca_file/server.key


配置agent配置文件,TLS参数可能如下所示:
agent所需的证书文件。
TLSConnect=cert
TLSAccept=cert
TLSCAFile=/data/zabbix-server/zabbix_ca_file/cacert.pem
TLSCertFile=/data/zabbix-server/zabbix_ca_file/agent.crt
TLSKeyFile=/data/zabbix-server/zabbix_ca_file/agent.key


3. 重启zabbix-server和zabbix-agent,在前端配置证书模式

在zabbix前端,选择主机,在加密中选择证书。
等待一段时间后,可以在可用性和agent加密看到cert颜色变绿 ,就表示证书应用成功了。
查看最新数据,数据采集正常。


本文作者:谌 鹏(上海新炬王翦团队)

本文来源:“IT那活儿”公众号

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/129362.html

相关文章

  • SSL/TLS及证书概述

    摘要:数字签名数字签名就是非对称加密摘要算法,其目的不是为了加密,而是用来防止他人篡改数据。认证是通过证书来达到的,而密码交换是通过证书里面的非对称加密算法公私钥来实现的。 每次配置HTTPS或者SSL时,都需要指定一些cacert,cert,key之类的东西,他们的具体作用是什么呢?为什么配置了他们之后通信就安全了呢?怎么用openssl命令来生成它们呢?程序中应该如何使用这些文件呢? 本...

    FullStackDeveloper 评论0 收藏0
  • 配置Nginx+Springboot+Qiniu+Https的一点心得

    摘要:通过购买免费的证书购买地址详细操作请点击免费申请阿里云赛门企业级铁克证书在上面配置我们现在这里只讲解在阿里云下购买的证书进行配置,现在都有了证书,现在我们来配置。 最近项目中的网站要设置https,虽然进入软件行业6年了,配置这个还是显得信心不足,还好网上有好多网友分享的文章可以从中学习,但是有优也有劣,凭我自己的一点经验从中甄选出好一点的文章跟大家分享一下。 1、什么是Https? ...

    阿罗 评论0 收藏0
  • 基于kubernetes的docker集群实践

    摘要:健康监控检查,可以说是集群中最重要的一部分了。我们在这里没有使用推荐的方式,我们自己将其与内部的系统做了结合,通过来对整个集群进行监控报警自动化操作。 在公司内部,基于kubernetes实现了简单的docker应用集群系统,拿出来和大家分享下,在这个系统中,实现了应用的自动部署、动态扩容、节点切换、健康检查、AB式版本更新等功能,也欢迎大家将各自的实现也分享给我。 整体架构 整体架构...

    meislzhua 评论0 收藏0
  • 基于kubernetes的docker集群实践

    摘要:健康监控检查,可以说是集群中最重要的一部分了。我们在这里没有使用推荐的方式,我们自己将其与内部的系统做了结合,通过来对整个集群进行监控报警自动化操作。 在公司内部,基于kubernetes实现了简单的docker应用集群系统,拿出来和大家分享下,在这个系统中,实现了应用的自动部署、动态扩容、节点切换、健康检查、AB式版本更新等功能,也欢迎大家将各自的实现也分享给我。 整体架构 整体架构...

    Flink_China 评论0 收藏0

发表评论

0条评论

IT那活儿

|高级讲师

TA的文章

阅读更多
最新活动
阅读需要支付1元查看
<