17. 加密 - 1 使用证书 - 《Zabbix 3.4 手册》

概述

有关如何设置和操作内部CA的更多信息，如何生成证书请求并签名，如何撤销证书，您可以找到许多在线操作，例如OpenSSL PKI Tutorial v1.1。

仔细考虑和测试证书扩展 - 请参阅。

证书配置参数

在Zabbix server上配置证书

为了验证对等证书，Zabbix server必须具有使用其顶级自签名根CA证书的文件访问权限。例如，如果我们期望来自两个独立根CA的证书，我们可以将其证书放入文件中：

2.将Zabbix服务器证书链放入文件中，例如/home/zabbix/zabbix_server.crt：

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 1 (0x1)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
        ...
        Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix server
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                ...
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Basic Constraints: 
                CA:FALSE
            ...
-----BEGIN CERTIFICATE-----
MIIECDCCAvCgAwIBAgIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixk
...
h02u1GHiy46GI+xfR3LsPwFKlkTaaLaL/6aaoQ==
-----END CERTIFICATE-----
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 2 (0x2)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
        ...
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
            ...
        X509v3 extensions:
            X509v3 Key Usage: critical
                Certificate Sign, CRL Sign
            X509v3 Basic Constraints: critical
                CA:TRUE, pathlen:0
        ...
-----BEGIN CERTIFICATE-----
MIID4TCCAsmgAwIBAgIBAjANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB
...
dyCeWnvL7u5sd6ffo8iRny0QzbHKmQt/wUtcVIvWXdMIFJM0Hw==
-----END CERTIFICATE-----

Here the first is Zabbix server certificate, followed by intermediate CA certificate.

这里首先是Zabbix server证书，其次是中间CA证书。

3.将Zabbix server私钥放入文件中，例如/home/zabbix/zabbix_server.key：

-----BEGIN PRIVATE KEY-----
MIIEwAIBADANBgkqhkiG9w0BAQEFAASCBKowggSmAgEAAoIBAQC9tIXIJoVnNXDl
...
IJLkhbybBYEf47MLhffWa7XvZTY=
-----END PRIVATE KEY-----

4.在Zabbix server配置文件中编辑TLS参数，如下所示：

TLSCAFile=/home/zabbix/zabbix_ca_file
TLSCertFile=/home/zabbix/zabbix_server.crt
TLSKeyFile=/home/zabbix/zabbix_server.key

为Zabbix proxy配置基于证书的加密

1.使用顶级CA证书，proxy证书（链）和私钥准备文件，如在中所述。编辑参数TLSCAFile，TLSCertFile， TLSKeyFile在proxy配置相应。

2.对于proxy 代理编辑TLSConnect参数：

TLSConnect=cert

对于被动proxy编辑参数：

3.现在你有一个基于证书的最小proxy配置。您可能希望通过设置TLSServerCertIssuer和TLSServerCertSubject参数来提高proxy安全性（请参阅限制允许的证书发行者和主体）。

4.在最终的proxy配置文件中，TLS参数可能如下所示：

TLSConnect=cert
TLSAccept=cert
TLSCAFile=/home/zabbix/zabbix_ca_file
TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
TLSServerCertSubject=CN=Zabbix server,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
TLSCertFile=/home/zabbix/zabbix_proxy.crt
TLSKeyFile=/home/zabbix/zabbix_proxy.key

在Zabbix前端配置此proxy的加密：

转到：管理→agent代理程序(proxies)
选择代理，然后单击加密选项卡

在下面的示例中，发行者(Issuer)和主体(fields)字段填写 - 请参阅[manual:encryption/using_certificates#restricting_allowed_certificate_issuer_and_subject|限制允许的证书发行者和主体]]为什么以及如何使用这些字段。

对于主动proxy

对于被动proxy

为Zabbix agent配置基于证书的加密

1.使用顶级CA证书，代理证书（链）和私钥准备文件，如在Zabbix server配置证书中所述。编辑参数TLSCAFile，TLSCertFile，TLSKeyFile在agent配置相应。

For active checks edit TLSConnect parameter:

TLSConnect=cert

对于被动检查编辑TLSAccept参数：

TLSAccept=cert

3.现在，您有一个基于证书的最小agent配置。您可能希望通过设置TLSServerCertIssuer和TLSServerCertSubject参数提高agent安全性。（请参阅）。

4.在最终agent配置文件中，TLS参数可能如下所示：

TLSConnect=cert
TLSAccept=cert
TLSCAFile=/home/zabbix/zabbix_ca_file
TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
TLSCertFile=/home/zabbix/zabbix_agentd.crt
TLSKeyFile=/home/zabbix/zabbix_agentd.key

（例如，假设主机是通过proxy监视的，因此是proxy证书主体。）

5.在Zabbix前端为此agent配置加密：

Go to: Configuration → Hosts
转到：配置→主机
Select host and click on Encryption tab
选择主机，然后单击加密选项卡

在下面的示例中，发行者和主体字段填写 - 请参阅限制允许的证书发行者和主体为什么以及如何使用这些字段。

限制允许的证书发行者和主体

当两个Zabbix组件（例如服务器和agent）建立TLS连接时，他们会检查对方的证书。如果对等证书由受信任的CA（具有预先配置的顶级证书TLSCAFile）签名，则是有效的和尚未过期，并通过一些其他检查，则可以进行通信。在最简单的情况下，不会检查证书发行者和主体。

这是一个风险 - 任何拥有有效证书的人都可以冒充任何人（例如，主机证书可以用来模拟服务器）。在通过专门的内部CA签署证书的小型环境中，这可能是可以接受的，并且冒充的风险较低。

如果您你的顶级CA用于发布不应被Zabbix接受的其他证书，或者你想降低冒充风险，您可以通过指定其发行者(Issuer)和主体(Subject)字符串来限制允许的证书。

例如，您可以在Zabbix proxy配置文件中写：

通过这些设置，主动proxy将不会与证书中具有不同发行者或主体字符串的Zabbix server通信，被动proxy将不接受来自此类服务器的请求。

有关发行者或主体字符串匹配的几个注释：

独立检查发行者和主体字符串。两者都是可选的。
允许使用UTF-8字符。
未指定的字符串意味着任何字符串都被接受。
匹配中不支持通配符和正则表达式。
只有的字符串表示：
- 转义字符'“' (U+0022), '+' U+002B, ',' U+002C, ';' U+003B, '<' U+003C, '>' U+003E, '\' U+005C 在字符串中的任何地方。
- 字符串开头处的转义字符空格(' ' U+0020) 或数字符号 ('#' U+0023)。
- 字符串末尾的转义字符空间(' ' U+0020) 。
如果遇到空字符(U+0000)（RFC 4514允许），则匹配失败。
要求和 RFC 4518轻量级目录访问协议（LDAP）：国际化字符串准备，由于所需的工作量不支持。

发行者和主体字符串和格式的字段顺序很重要！Zabbix遵循建议，并使用“反向”字段顺序。

反向顺序可以举例说明：

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

请注意，它以低位（CN）开始，进入中级（OU，O）并以顶级（DC）字段结束。

默认情况下，OpenSSL将以“正常”的顺序显示证书发行者和主体字段，具体取决于使用的其他选项：

$ openssl x509 -noout -in /home/zabbix/zabbix_proxy.crt -issuer -subject
issuer= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Signing CA
subject= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Zabbix proxy
 
$ openssl x509 -noout -text -in /home/zabbix/zabbix_proxy.crt
Certificate:
        ...
        Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
      ...
        Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix proxy

这里发行者和主体字符串从顶级（DC）开始，以低级（CN）字段结尾，空格和字段分隔符取决于所使用的选项。这些值都不会匹配Zabbix发行者（Issuer）和主体（Subject）字段！

要获得适当的发行者和主体字符串可用于Zabbix使用特殊选项调用\OpenSSL-nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname：

$ openssl x509 -noout -issuer -subject \
        -nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname \
        -in /home/zabbix/zabbix_proxy.crt
issuer= CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
subject= CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

现在字符串字段是反序，字段是逗号分隔的，可以在Zabbix配置文件和前端使用。

使用X.509 v3证书扩展的限制

主体备用名称（subjectAltName）扩展名。 Zabbix不支持来自subjectAltName扩展名的替代主体名称（如IP地址，电子邮件地址）。只能在Zabbix中检查“主体”字段的值（请参阅）。如果证书使用subjectAltName扩展名，那么结果取决于加密工具包的特定组合。Zabbix组件被编译（可能工作或不工作，Zabbix可能拒绝接受来自对等体的证书）
扩展密钥使用扩展。如果使用，则通常需要clientAuth（TLS WWW客户端身份验证）和serverAuth（TLS WWW服务器身份验证）。例如，被动检查的zabbix agent是作为TLS服务器，所以serverAuth必须在agent证书设置。对于主动检查agent证书需要clientAuth进行设置。GnuTLS在违规使用情况下发出警告，但允许通信进行。
名称限制扩展。并不是所有的加密工具包都支持它。此扩展可能会阻止Zabbix加载CA证书，此部分被标记为关键(critical)（取决于特定的加密工具包）。

证书撤销清单（CRL）

如果证书受到威胁，CA可以通过在CRL中包含来撤销证书。可以在server器，proxy和agent的配置文件中配置CRL TLSCRLFile。例如：

TLSCRLFile=/home/zabbix/zabbix_crl_file

where zabbix_crl_file may contain CRLs from several CAs and look like:

那里可能包含几个CA的CRL，如下所示

如果使用OpenSSL编译Zabbix组件，要使用CRL，则证书链中的每个顶级和中级CA都必须具有相应的CRL（可以为空）TLSCRLFile。

使用CRL扩展的限制

权限密钥标识符扩展。具有相同名称的CA的CRL在mbedTLS（PolarSSL）的情况下可能不起作用，即使使用“权限密钥标识符”扩展。