База знаний
Войти

Управление зашифрованными соединениями

Соединения в Подсистеме могут использовать:

  • отсутствие шифрования (по умолчанию);
  • шифрование RSA на основе сертификатов;
  • шифрование на основе PSK.

Имеется два важных параметра, которые используются, чтобы указать шифрование между компонентами Подсистемы:

  • TLSConnect – указывает, какое шифрование использовать для исходящих соединений (unencrypted, PSK или certificate);
  • TLSAccept – указывает, какие виды соединений разрешены для входящих соединений (unencrypted, PSK или certificate). Можно указать одно или несколько значений.

TLSConnect используется в файлах конфигурации Прокси (в активном режиме, задаёт только подключения к Серверу) и Агентов (для активных проверок). В веб-интерфейсе эквивалентом параметру TLSConnect является поле "Подключения к узлу сети" на вкладке "Настройка → Узлы сети → <узел сети> → Шифрование" и поле "Подключения к Прокси" на вкладке "Администрирование → Прокси → <Прокси> → Шифрование". Если настроенный тип шифрования для соединения завершится неудачей, другие типы шифрования не будут опробованы.

TLSAccept используется в файлах конфигурации Прокси (в пассивном режиме, задаёт только соединения от Сервера) и Агента (для пассивных проверок). В веб-интерфейсе эквивалентом параметра TLSAccept является поле "Соединения с узла сети" на вкладке "Настройка → Узлы сети → <узел сети> → Шифрование" и поля "Соединения с Прокси" на вкладке "Администрирование → Прокси → <Прокси> → Шифрование".

Как правило, настраивают только один тип шифрования для входящих подключений. Но можно переключить режим шифрования, например, с незашифрованного на основанный на сертификатах с минимальным временем простоя и с возможностью отката. Чтобы достичь этого, нужно:

  1. выставить TLSAccept=unencrypted,cert в файле конфигурации Агента и перезапустить Агента;
  2. проверить подключение от zabbix_get к Агенту с использованием сертификата. Если подключение работает, можно перенастроить шифрование у этого Агента в веб-интерфейсе на вкладке "Настройка → Узлы сети → <узел сети> → Шифрование", переключив настройку "Подключения к узлу сети" на "Сертификат";
  3. когда кэш конфигурации Сервера обновится (и обновится конфигурация Прокси, если узел сети наблюдается через Прокси), то подключения к этому Агенту будут зашифрованными;
  4. если всё работает как ожидается, можно задать TLSAccept=cert в файле конфигурации Агента и перезапустить Агента. Теперь Агент будет принимать только зашифрованные подключения на основе сертификатов. Незашифрованные и основанные на PSK подключения будут отклонены.

Шифрование на Сервере и Прокси работает аналогичным образом. Если в веб-интерфейсе в настройке узла сети "Соединения с узла сети" задано равным "Сертификат", то от Агента (активные проверки) и zabbix_sender (траппер элементы данных) будут приниматься только зашифрованные соединения на основе сертификатов.

Следует настроить входящие и исходящие соединения на использование одного типа шифрования или без шифрования. Кроме того, имеется возможность настроить шифрование асимметрично, например: шифрование на основе сертификатов для входящих подключений и на основе PSK для исходящих подключений.

Настройки шифрования по каждому узлу сети отображаются в веб-интерфейсе "Настройка → Узлы сети" в колонке "Шифрование Агента". Примеры отображения настроек приведены в таблице 163.

По умолчанию используются незашифрованные подключения. Шифрование необходимо настраивать по каждому узлу сети и Прокси отдельно.