База знаний
Войти

Алгоритмы шифрования, заданные пользователем

Встроенные критерии выбора алгоритмов шифрования могут быть переопределены алгоритмами шифрования, заданными пользователем.

Алгоритмы шифрования, заданные пользователем, – это возможность, предназначенная для продвинутых пользователей, которые понимают алгоритмы шифрования TLS, их безопасность и последствия ошибок, и которые разбираются в устранении неполадок с TLS.

Встроенные критерии выбора алгоритмов шифрования могут быть переопределены, используя параметры, указанные в таблице 165.

Чтобы переопределить выбор алгоритмов шифрования в утилитах zabbix_get и zabbix_sender (Приложение Е в документе "РОСА Центр управления. Часть 3-2. Эксплуатация. Подсистема мониторинга. Приложения"), используют параметры командной строки:

  • --tls-cipher13;
  • --tls-cipher.

Эти параметры опциональны. Если параметр не указан, используется внутреннее значение по умолчанию. Если параметр указан, он не может быть пустым.

Если настройка значения параметров TLSCipher* в криптобиблиотеке завершается неудачей, то Сервер, Прокси или Агент не запустятся, а в журнал будет записано сообщение об ошибке.

Важно понимать применимость каждого из параметров.

Исходящие соединения

Простейший случай – это исходящие соединения:

  • Для исходящих соединений с сертификатом используют TLSCipherCert13 или TLSCipherCert.
  • Для исходящих соединений с PSK используют TLSCipherPSK13 или TLSCipherPSK.
  • В случае утилит zabbix_get и zabbix_sender могут быть использованы параметры командной строки --tls-cipher13 и --tls-cipher (само шифрование недвусмысленно указывается параметром --tls-connect).

Входящие соединения

Немного сложнее со входящими соединениями, т.к. правила зависят от компонентов и конфигурации.

Описание параметров для Агента, Сервера и Прокси приведены в таблице 166.

В таблице 60 можно увидеть некоторые шаблоны:

  • TLSCipherAll и TLSCipherAll13 могут быть указаны, только если используется комбинированный список шифров на основе сертификатов и на основе PSK. Есть два случая, когда это имеет место: Сервер (Прокси) с настроенным сертификатом (шифры PSK всегда настраиваются на Сервере и Прокси, если криптобиблиотека поддерживает PSK), Агент настраивается на приём как на основе сертификатов, так и PSK;
  • в остальных случаях достаточно TLSCipherCert* и/или TLSCipherPSK*.

Таблица 167 показывает встроенные по умолчанию значения TLSCipher*. Они могут являться хорошей отправной точкой для собственных кастомизированных значений.

Примечание – Значения по умолчанию отличаются для более старых версий OpenSSL (1.0.1, 1.0.2, 1.1.0), для LibreSSL и если OpenSSL скомпилирован без поддержки PSK.