Áú»¢¶Ä²©

Documentation

This is the documentation page for an unsupported version of Áú»¢¶Ä²©.
Is this not what you were looking for? Switch to the current version or choose one from the drop-down menu.
1 Frequently asked questions / Troubleshooting
1 Cr¨¦ation de la base de donn¨¦es
2 Áú»¢¶Ä²© agent on Microsoft Windows
3 Elasticsearch setup
4 Real-time export of events, values, trends
1 Áú»¢¶Ä²© server
2 Áú»¢¶Ä²© proxy
3 Áú»¢¶Ä²© agent (UNIX)
4 Áú»¢¶Ä²© agent (Windows)
5 Áú»¢¶Ä²© Java gateway
6 Special notes on "Include" parameter
1 Server-proxy data exchange protocol
2 Áú»¢¶Ä²© agent protocol
3 Áú»¢¶Ä²© sender protocol
4 Header and data length
5 Real-time export protocol
1 Items supported by platform
2 vm.memory.size parameters
3 Passive and active agent checks
4 Trapper items
5 Encoding of returned values
6 Large file support
7 Sensor
8 Notes on memtype parameter in proc.mem items
9 Notes on selecting processes in proc.mem and proc.num items
10 Implementation details of net.tcp.service and net.udp.service checks
12 Unreachable/unavailable host settings
1 Supported trigger functions
1 Macros supported by location
2 User macros supported by location
8 Unit symbols
9 Setting time periods
10 Command execution
11 Recipes for monitoring
12 Performance tuning
13 Version compatibility
14 Database error handling
15 Áú»¢¶Ä²© sender dynamic link library for Windows
16 Issues with SELinux
1 Structure du manuel
2 Qu'est-ce que Áú»¢¶Ä²© ?
3 Fonctionnalit¨¦s Áú»¢¶Ä²©
4 Aper?u de Áú»¢¶Ä²©
2. D¨¦finitions
1 Serveur
2 Agent
3 Proxy
4 Passerelle Java
5 Sender
6 Get
1 Obtenir Áú»¢¶Ä²©
Bonnes pratiques pour la configuration s¨¦curis¨¦e de Áú»¢¶Ä²©
3 Installation depuis les sources
1 Red Hat Enterprise Linux/CentOS
2 Debian/Ubuntu
5 Installation depuis les containers
1 Red Hat Enterprise Linux/CentOS
2 Debian/Ubuntu
Mise ¨¤ jour depuis les sources
7 Probl¨¨mes connus
8 Modifications des mod¨¨les
1 Identification et configuration des utilisateurs
2 Nouvel h?te
3 Nouvel ¨¦l¨¦ment
4 Nouveau d¨¦clencheur
5 R¨¦ception des notifications de probl¨¨mes
6 Nouveau mod¨¨le
6. Appliance Áú»¢¶Ä²©
1 Configuration d¡¯un h?te
2 Inventaire
3 Mise ¨¤ jour group¨¦e
1 Format de cl¨¦ d¡¯¨¦l¨¦ment
2 Custom intervals
Cl¨¦s d'¨¦l¨¦ments sp¨¦cifique ¨¤ Windows
1 Index dynamiques
2 OID sp¨¦ciaux
3 Traps SNMP
4 V¨¦rifications IPMI
1 Cl¨¦s d'¨¦l¨¦ment de supervision VMware
6 Supervision des fichiers journaux
7 El¨¦ments calcul¨¦s
8 Internal checks
9 SSH checks
10 Telnet checks
11 External checks
12 Aggregate checks
13 Trapper items
14 JMX monitoring
1 Recommended UnixODBC settings for MySQL
2 Recommended UnixODBC settings for PostgreSQL
3 Recommended UnixODBC settings for Oracle
4 Recommended UnixODBC settings for MSSQL
16 Dependent items
17 HTTP agent
3 History and trends
1 Extending Áú»¢¶Ä²© agents
5 Loadable modules
6 Windows performance counters
7 Mass update
8 Value mapping
9 Applications
10 Queue
11 Value cache
12 Check now
1 Configuring a trigger
2 Trigger expression
3 Trigger dependencies
4 Trigger severity
5 Customising trigger severities
7 Mass update
8 Predictive trigger functions
1 Trigger event generation
2 Manual closing of problems
3 Other event sources
1 Trigger-based event correlation
2 Global event correlation
1 Simple graphs
2 Custom graphs
3 Ad-hoc graphs
1 Configuring a network map
2 Host group elements
3 Link indicators
1 Screen elements
4 Slide shows
5 Host screens
1 Configuring a template
2 Linking/unlinking
3 Nesting
1 Standardized templates for network devices
1 E-mail
2 SMS
5 Custom alertscripts
1 Conditions
1 Sending message
2 Remote commands
3 Additional operations
4 Using macros in messages
3 Recovery operations
4 Acknowledgement operations
5 Escalations
3 Receiving notification on unsupported items
1 Macro functions
2 User macros
3 Low-level discovery macros
1 Configuring a user
2 Permissions
3 User groups
8. Supervision de service
1 Web monitoring items
2 Real life scenario
1 Virtual machine discovery key fields
11. Maintenance
12. Regular expressions
13. Event acknowledgement
1 Host groups
2 Templates
4 Network maps
5 Screens
1 Configuring a network discovery rule
2 Active agent auto-registration
1 Discovery of network interfaces
2 Discovery of CPUs and CPU cores
3 Discovery of SNMP OIDs
4 Discovery of JMX objects
5 Discovery using ODBC SQL queries
6 Discovery of Windows services
7 Discovery of host interfaces in Áú»¢¶Ä²©
Notes on low-level discovery
1 Proxys
1 Par certificat
2 Par cl¨¦s pr¨¦-partag¨¦es (PSK)
1 Probl¨¨mes de type de connexion ou d'autorisation
2 Probl¨¨mes de certificat
3 Probl¨¨mes PSK
1 Dashboard widgets
2 Problems
3 Overview
4 Web
5 Latest data
6 Graphs
7 Screens
8 Maps
9 Discovery
10 Services
1 Overview
2 Hosts
1 System information
2 Availability report
3 Triggers top 100
4 Audit
5 Action log
6 Notifications
1 Host groups
2 Templates
1 Applications
2 Items
3 Triggers
4 Graphs
5 Discovery rules
6 Web scenarios
4 Maintenance
5 Actions
6 Event correlation
7 Discovery
8 IT services
1 General
2 Proxies
3 Authentication
4 User groups
5 Users
6 Media types
7 Scripts
8 Queue
1 Global notifications
2 Sound in browsers
3 Global search
4 Frontend maintenance mode
5 Page parameters
6 Definitions
7 Creating your own theme
8 Debug mode
> Action object
action.create
action.delete
action.get
action.update
> Objet Alerte
alert.get
apiinfo.version
> Objet Application
application.create
application.delete
application.get
application.massadd
application.update
configuration.export
configuration.import
> Objet °ä´Ç°ù°ù¨¦±ô²¹³Ù¾±´Ç²Ô
correlation.create
correlation.delete
correlation.get
correlation.update
> Dashboard object
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
> Discovered host object
dhost.get
> Discovered service object
dservice.get
> Discovery check object
dcheck.get
> Discovery rule object
drule.create
drule.delete
drule.get
drule.update
> Event object
event.acknowledge
event.get
> Graph object
graph.create
graph.delete
graph.get
graph.update
> Graph item object
graphitem.get
> Graph prototype object
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
> History object
history.get
> Host object
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
> Host group object
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.update
> Host interface object
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
> Host prototype object
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
> Icon map object
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
> Image object
image.create
image.delete
image.get
image.update
> Item object
item.create
item.delete
item.get
item.update
> Item prototype object
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
> LLD rule object
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> Maintenance object
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
> Map object
map.create
map.delete
map.get
map.update
> Media type object
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
> Problem object
problem.get
> Proxy object
proxy.create
proxy.delete
proxy.get
proxy.update
> Screen object
screen.create
screen.delete
screen.get
screen.update
> Screen item object
screenitem.create
screenitem.delete
screenitem.get
screenitem.update
screenitem.updatebyposition
> Script object
script.create
script.delete
script.execute
script.get
script.getscriptsbyhosts
script.update
> Service object
service.adddependencies
service.addtimes
service.create
service.delete
service.deletedependencies
service.deletetimes
service.get
service.getsla
service.update
task.create
> Template object
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
> Template screen object
templatescreen.copy
templatescreen.create
templatescreen.delete
templatescreen.get
templatescreen.update
> Template screen item object
templatescreenitem.get
> Trend object
trend.get
> Trigger object
trigger.adddependencies
trigger.create
trigger.delete
trigger.deletedependencies
trigger.get
trigger.update
> Trigger prototype object
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
> User object
user.create
user.delete
user.get
user.login
user.logout
user.update
> User group object
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
> User macro object
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
> Value map object
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
> Web scenario object
httptest.create
httptest.delete
httptest.get
httptest.update
Appendix 1. Commentaires de r¨¦f¨¦rence
zabbix_agentd
zabbix_get
zabbix_proxy
zabbix_sender
zabbix_server

1 Par certificat

Vue d'ensemble

Áú»¢¶Ä²© peut utiliser des certificats RSA au format PEM, sign¨¦s par une autorit¨¦ de certification publique ou interne (CA). La v¨¦rification du certificat est effectu¨¦e sur un certificat CA pr¨¦-configur¨¦. Les certificats auto-sign¨¦s ne sont pas pris en charge. Les listes de r¨¦vocation de certificats (CRL) peuvent ¨¦ventuellement ¨ºtre utilis¨¦es. Chaque composant Áú»¢¶Ä²© ne peut avoir qu'un seul certificat configur¨¦.

Pour plus d'informations sur la configuration et l'utilisation de l'autorit¨¦ de certification interne, la g¨¦n¨¦ration de demandes de certificats et leur signature, la r¨¦vocation de certificats, vous trouverez en ligne en grand nombre de modes d'emploi, par exemple, .

Examinez attentivement et testez vos extensions de certificat - voir Limitations sur les extensions de certificat X.509 v3.

±Ê²¹°ù²¹³¾¨¨³Ù°ù±ðs de configuration du certificat

±Ê²¹°ù²¹³¾¨¨³Ù°ù±ð Obligatoire Description
TLSCAFile * Chemin d'acc¨¨s complet d'un fichier contenant les certificats de niveau sup¨¦rieur de l'autorit¨¦ de certification pour la v¨¦rification des certificats homologues.
En cas de cha?ne de certificats avec plusieurs membres, ils doivent ¨ºtre ordonn¨¦s: certificats de CA de niveau inf¨¦rieur en premier, suivi par des certificats de niveau sup¨¦rieur.
Les certificats de plusieurs CA peuvent ¨ºtre inclus dans un seul fichier.
TLSCRLFile Chemin d'acc¨¨s complet d'un fichier contenant des listes de r¨¦vocation de certificats. Voir Listes de r¨¦vocation de certificats (CRL).
TLSCertFile * Chemin d'acc¨¨s complet d'un fichier contenant un certificat (cha?ne de certificats).
En cas de cha?ne de certificats avec plusieurs membres, ils doivent ¨ºtre ordonn¨¦s: certificat de serveur, de proxy ou d'agent en premier, suivi des certificats de niveau inf¨¦rieur puis des certificats de l'autorit¨¦ de certification de niveau sup¨¦rieur.
TLSKeyFile * Chemin d'acc¨¨s complet d'un fichier contenant une cl¨¦ priv¨¦e. D¨¦finissez les droits d¡¯acc¨¨s ¨¤ ce fichier - il ne doit ¨ºtre lisible que par l¡¯utilisateur de Áú»¢¶Ä²©.
TLSServerCertIssuer ?metteur de certificat de serveur autoris¨¦.
TLSServerCertSubject D¨¦tenteur du certificat de serveur autoris¨¦.

Configuration du certificat sur le serveur Áú»¢¶Ä²©

1. Afin de v¨¦rifier les certificats homologues, le serveur Áú»¢¶Ä²© doit avoir acc¨¨s aux fichiers avec leurs certificats d'autorit¨¦ de certification racine auto-sign¨¦s de niveau sup¨¦rieur. Par exemple, si nous souhaitons des certificats de deux autorit¨¦s de certification racine ind¨¦pendantes, nous pouvons placer leurs certificats dans un fichier. /home/zabbix/zabbix_ca_file ainsi:

Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Áú»¢¶Ä²© SIA, OU=Development group, CN=Root1 CA
                   ...
               Subject: DC=com, DC=zabbix, O=Áú»¢¶Ä²© SIA, OU=Development group, CN=Root1 CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE
                   ...
       -----BEGIN CERTIFICATE-----
       MIID2jCCAsKgAwIBAgIBATANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB
       ....
       9wEzdN8uTrqoyU78gi12npLj08LegRKjb5hFTVmO
       -----END CERTIFICATE-----
       Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Áú»¢¶Ä²© SIA, OU=Development group, CN=Root2 CA
                   ...
               Subject: DC=com, DC=zabbix, O=Áú»¢¶Ä²© SIA, OU=Development group, CN=Root2 CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ....
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE
                   ....       
       -----BEGIN CERTIFICATE-----
       MIID3DCCAsSgAwIBAgIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQB
       ...
       vdGNYoSfvu41GQAR5Vj5FnRJRzv5XQOZ3B6894GY1zY=
       -----END CERTIFICATE-----

2. Placer la cha?ne de certificats du serveur Áú»¢¶Ä²© dans un fichier, par exemple, /home/zabbix/zabbix_server.crt:

Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Áú»¢¶Ä²© SIA, OU=Development group, CN=Signing CA
               ...
               Subject: DC=com, DC=zabbix, O=Áú»¢¶Ä²© SIA, OU=Development group, CN=Áú»¢¶Ä²© server
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                       ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Digital Signature, Key Encipherment
                   X509v3 Basic Constraints: 
                       CA:FALSE
                   ...
       -----BEGIN CERTIFICATE-----
       MIIECDCCAvCgAwIBAgIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixk
       ...
       h02u1GHiy46GI+xfR3LsPwFKlkTaaLaL/6aaoQ==
       -----END CERTIFICATE-----
       Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 2 (0x2)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Áú»¢¶Ä²© SIA, OU=Development group, CN=Root1 CA
               ...
               Subject: DC=com, DC=zabbix, O=Áú»¢¶Ä²© SIA, OU=Development group, CN=Signing CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE, pathlen:0
               ...
       -----BEGIN CERTIFICATE-----
       MIID4TCCAsmgAwIBAgIBAjANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB
       ...
       dyCeWnvL7u5sd6ffo8iRny0QzbHKmQt/wUtcVIvWXdMIFJM0Hw==
       -----END CERTIFICATE-----

Ici, le premier est le certificat de serveur Áú»¢¶Ä²©, suivi du certificat interm¨¦diaire de l'autorit¨¦ de certification.

3. Placer la cl¨¦ priv¨¦e du serveur Áú»¢¶Ä²© dans un fichier, par exemple, /home/zabbix/zabbix_server.key:

-----BEGIN PRIVATE KEY-----
       MIIEwAIBADANBgkqhkiG9w0BAQEFAASCBKowggSmAgEAAoIBAQC9tIXIJoVnNXDl
       ...
       IJLkhbybBYEf47MLhffWa7XvZTY=
       -----END PRIVATE KEY-----

4. Modifier les param¨¨tres TLS dans le fichier de configuration du serveur Áú»¢¶Ä²© comme suit:

TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSCertFile=/home/zabbix/zabbix_server.crt
       TLSKeyFile=/home/zabbix/zabbix_server.key

Configuration du chiffrement par certificat pour le proxy Áú»¢¶Ä²©

1. Pr¨¦parez les fichiers avec les certificats de l'autorit¨¦ de certification de niveau sup¨¦rieur, le certificat proxy (cha?ne) et la cl¨¦ priv¨¦e, comme d¨¦crit dans Configuration du certificat sur le serveur Áú»¢¶Ä²©. Modifier les param¨¨tres TLSCAFile, TLSCertFile, TLSKeyFile dans la configuration du proxy en cons¨¦quence.

2. Pour un proxy actif modifier le param¨¨tre TLSConnect :

TLSConnect=cert

Pour un proxy passif modifier le param¨¨tre TLSAccept :

TLSAccept=cert

3. Vous disposez maintenant d'une configuration de proxy minimale bas¨¦e sur un certificat. Vous pouvez si vous le souhaitez am¨¦liorer la s¨¦curit¨¦ du proxy en d¨¦finissant les param¨¨tres TLSServerCertIssuer et TLSServerCertSubject (voir Restriction de l'¨¦metteur et du d¨¦tenteur autoris¨¦s).

4. Dans le fichier final de configuration du proxy, les param¨¨tres TLS peuvent ressembler ¨¤ ceci:

TLSConnect=cert
       TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Áú»¢¶Ä²© SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Áú»¢¶Ä²© server,OU=Development group,O=Áú»¢¶Ä²© SIA,DC=zabbix,DC=com
       TLSCertFile=/home/zabbix/zabbix_proxy.crt
       TLSKeyFile=/home/zabbix/zabbix_proxy.key

5. Configurer le chiffrement pour ce proxy dans l'interface Áú»¢¶Ä²©:

  • Aller dans : Administration ¡ú Proxys
  • S¨¦lectionner un proxy et cliquer sur l'onglet Chiffrement

Dans les exemples ci-dessous, les champs D¨¦livr¨¦ par et Sujet sont remplis - voir dans Restriction de l'¨¦metteur et du sujet autoris¨¦s pourquoi et comment utiliser ces champs.

Pour un proxy actif

proxy_active_cert.png

Pour un proxy passif

proxy_passive_cert.png

Configuration du chiffrement par certificat pour l'agent Áú»¢¶Ä²©

1. Pr¨¦parer les fichiers avec les certificats de l'autorit¨¦ de certification de niveau sup¨¦rieur, le certificat agent (cha?ne) et la cl¨¦ priv¨¦e, comme d¨¦crit dans Configuration du certificat sur le serveur Áú»¢¶Ä²©. Modifier les param¨¨tres TLSCAFile, TLSCertFile, TLSKeyFile dans la configuration de l'agent en cons¨¦quence.

2. Pour les surveillances actives, modifier le param¨¨tre TLSConnect:

TLSConnect=cert

Pour les surveillances passives, modifier le param¨¨treTLSAccept:

TLSAccept=cert

3. Vous disposez maintenant d'une configuration minimale agent bas¨¦e sur certificat. Vous pouvez si vous le souhaitez am¨¦liorer la s¨¦curit¨¦ des agents en d¨¦finissant les param¨¨tres TLSServerCertIssuer et TLSServerCertSubject. (voir Restriction de l'¨¦metteur et du sujet autoris¨¦s).

4. Dans le fichier final de configuration de l'agent, les param¨¨tres TLS peuvent ressembler ¨¤ ceci::

TLSConnect=cert
       TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Áú»¢¶Ä²© SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Áú»¢¶Ä²© proxy,OU=Development group,O=Áú»¢¶Ä²© SIA,DC=zabbix,DC=com
       TLSCertFile=/home/zabbix/zabbix_agentd.crt
       TLSKeyFile=/home/zabbix/zabbix_agentd.key

(L'exemple suppose que l'h?te est surveill¨¦ via un proxy, donc un sujet de certificat proxy.)

5. Configurer le chiffrement pour cet agent dans l'interface Áú»¢¶Ä²©:

  • Aller dans : Administration ¡ú H?tes
  • S¨¦lectionner l'agent et cliquer sur l'onglet Chiffrement

Dans l'exemple ci-dessous, les champs D¨¦livr¨¦ par et Sujet sont remplis - voir dans Restriction de l'¨¦metteur et du sujet autoris¨¦s pourquoi et comment utiliser ces champs.

agent_config.png

Restriction de l'¨¦metteur et du sujet autoris¨¦s

Lorsque deux composants (par exemple serveur Áú»¢¶Ä²© et agent) ¨¦tablissent une connexion TLS, ils v¨¦rifient chacun les certificats de l'autre. Si un certificat homologue est sign¨¦ par une autorit¨¦ de certification de confiance (avec un certificat de niveau sup¨¦rieur pr¨¦configur¨¦ dans ?TLSCAFile?), est valide, n'a pas expir¨¦ et passe d'autres v¨¦rifications, alors la communication peut continuer. L'¨¦metteur et le sujet du certificat ne sont pas v¨¦rifi¨¦s dans ce cas le plus simple.

Il existe un risque: toute personne poss¨¦dant un certificat valide peut usurper l'identit¨¦ de quelqu'un d'autre (par exemple, un certificat d'h?te peut ¨ºtre utilis¨¦ pour emprunter l'identit¨¦ d'un serveur). Cela peut ¨ºtre acceptable dans les petits environnements ´Ç¨´ les certificats sont sign¨¦s par une autorit¨¦ de certification interne d¨¦di¨¦e et ´Ç¨´ le risque de personnification est faible.

Si votre autorit¨¦ de certification de niveau sup¨¦rieur est utilis¨¦e pour ¨¦mettre d'autres certificats qui ne doivent pas ¨ºtre accept¨¦s par Áú»¢¶Ä²© ou si vous souhaitez r¨¦duire le risque d'usurpation d'identit¨¦, vous pouvez restreindre les certificats autoris¨¦s en sp¨¦cifiant leurs cha?nes d'¨¦metteur et de sujet.

Par exemple, vous pouvez ¨¦crire dans le fichier de configuration du proxy Áú»¢¶Ä²©:

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Áú»¢¶Ä²© SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Áú»¢¶Ä²© server,OU=Development group,O=Áú»¢¶Ä²© SIA,DC=zabbix,DC=com

Avec ces param¨¨tres, un proxy actif ne communiquera pas avec le serveur Áú»¢¶Ä²© avec une cha?ne ¨¦mettrice ou une cha?ne sujet diff¨¦rente dans le certificat, un proxy passif n'acceptera pas les demandes de ce serveur.

Quelques notes sur la correspondance de cha?ne ¨¦metteur ou sujet:

  1. Les cha?nes ¨¦metteur et sujet sont v¨¦rifi¨¦es ind¨¦pendamment. Les deux sont facultatives.
  2. Les caract¨¨res UTF-8 sont autoris¨¦s.
  3. Une cha?ne non sp¨¦cifi¨¦e signifie que toute cha?ne est accept¨¦e.
  4. Les cha?nes sont compar¨¦es "telles quelles", elles doivent ¨ºtre exactement identiques pour correspondre.
  5. Les caract¨¨res g¨¦n¨¦riques et les expressions rationnelles ne sont pas pris en charge dans la correspondance.
  6. Seules certaines exigences de la sont impl¨¦ment¨¦es:
    - caract¨¨res d'¨¦chappement '"' (U+0022), '+' U+002B, ',' U+002C, ';' U+003B, '<' U+003C, '>' U+003E, '\' U+005C  n'importe ´Ç¨´ dans la cha?ne.
           - caract¨¨res d'¨¦chappement (' ' U+0020) ou le signe di¨¨se ('#' U+0023) au d¨¦but de la cha?ne.
           - caract¨¨res d'¨¦chappement (' ' U+0020) ¨¤ la fin de la cha?ne.
       - La correspondance ¨¦choue si un caract¨¨re nul (U+0000) est rencontr¨¦ (La [[http://tools.ietf.org/html/rfc4514|RFC 4514]] le permet).
       - Les exigences de la [[http://tools.ietf.org/html/rfc4517| RFC 4517 Lightweight Directory Access Protocol (LDAP): Syntaxes et r¨¨gles de correspondance]] et de la [[http://tools.ietf.org/html/rfc4518|RFC 4518 Lightweight Directory Access Protocol (LDAP): Pr¨¦paration de cha?nes internationalis¨¦e]] ne sont pas pris en charge en raison de la quantit¨¦ de travail requise.

L'ordre des champs dans les cha?nes D¨¦livrer par et Sujet et le formatage sont importants! Áú»¢¶Ä²© suit les recommandations de la et utilise l'ordre "inverse" des champs.

L'ordre inverse peut ¨ºtre illustr¨¦ par l'exemple suivant:

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Áú»¢¶Ä²© SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Áú»¢¶Ä²© proxy,OU=Development group,O=Áú»¢¶Ä²© SIA,DC=zabbix,DC=com

Notez qu'il commence par le niveau bas (CN), passe au niveau interm¨¦diaire (OU, O) et termine par les champs de niveau sup¨¦rieur (DC).

OpenSSL affiche par d¨¦faut les champs Issuer et Subject du certificat dans l'ordre "normal", en fonction des options suppl¨¦mentaires utilis¨¦es:

$ openssl x509 -noout -in /home/zabbix/zabbix_proxy.crt -issuer -subject
       issuer= /DC=com/DC=zabbix/O=Áú»¢¶Ä²© SIA/OU=Development group/CN=Signing CA
       subject= /DC=com/DC=zabbix/O=Áú»¢¶Ä²© SIA/OU=Development group/CN=Áú»¢¶Ä²© proxy
       
       $ openssl x509 -noout -text -in /home/zabbix/zabbix_proxy.crt
       Certificate:
               ...
               Issuer: DC=com, DC=zabbix, O=Áú»¢¶Ä²© SIA, OU=Development group, CN=Signing CA
           ...
               Subject: DC=com, DC=zabbix, O=Áú»¢¶Ä²© SIA, OU=Development group, CN=Áú»¢¶Ä²© proxy

Ici, les cha?nes Issuer et Subject commencent par le niveau sup¨¦rieur (DC) et se terminent par un champ de bas niveau (CN), les espaces et les s¨¦parateurs de champs d¨¦pendent des options utilis¨¦es. Aucune de ces valeurs ne correspondra dans les champs D¨¦livr¨¦ et Sujet de Áú»¢¶Ä²©!

Pour obtenir des cha?nes Issuer et Subject correctes utilisables dans Áú»¢¶Ä²©, ex¨¦cutez OpenSSL avec les options sp¨¦ciales
-nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname:

$ openssl x509 -noout -issuer -subject \
               -nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname \
               -in /home/zabbix/zabbix_proxy.crt
       issuer= CN=Signing CA,OU=Development group,O=Áú»¢¶Ä²© SIA,DC=zabbix,DC=com
       subject= CN=Áú»¢¶Ä²© proxy,OU=Development group,O=Áú»¢¶Ä²© SIA,DC=zabbix,DC=com

Maintenant, les champs de cha?nes sont dans l'ordre inverse, les champs sont s¨¦par¨¦s par des virgules, peuvent ¨ºtre utilis¨¦s dans les fichiers de configuration et l'interface Áú»¢¶Ä²©.

Limitations sur les extensions de certificat X.509 v3

  • Extension Nom de sujet alternatif (subjectAltName).
    Les noms de sujet alternatifs de l'extension subjectAltName (comme adresse IP, adresse e-mail) ne sont pas support¨¦s par Áú»¢¶Ä²©. Seule la valeur du champ "Sujet" peut ¨ºtre v¨¦rifi¨¦e dans Áú»¢¶Ä²© (see Restriction de l'¨¦metteur et du sujet autoris¨¦s).
    Si un certificat utilise l'extension subjectAltName alors le r¨¦sultat d¨¦pendra d'une combinaison particuli¨¨re des kits d'outils cryptographiques avec lesquels les composants Áú»¢¶Ä²© sont compil¨¦s (cela peut fonctionner ou pas, Áú»¢¶Ä²© peut refuser d'accepter de tels certificats de ses pairs).
  • Extension Utilisation de cl¨¦ ¨¦tendue.
    Si utilis¨¦ alors les deux param¨¨tres clientAuth (Authentification du client WWW TLS) et serverAuth (Authentification du serveur WWW TLS) sont g¨¦n¨¦ralement n¨¦cessaires.
    Par exemple, dans les contr?les passifs, l'agent Áú»¢¶Ä²© joue un r?le de serveur TLS, ainsiserverAuth doit ¨ºtre d¨¦fini dans le certificat de l'agent. Pour les contr?les actifs, le certificat d'agent n¨¦cessite de d¨¦finit clientAuth.
    GnuTLS ¨¦met un avertissement en cas de violation de l'utilisation de la cl¨¦, mais autorise la communication.
  • Extension Contraintes de nom.
    Toutes les bo?tes ¨¤ outils cryptographiques ne le prennent pas en charge. Cette extension peut emp¨ºcher Áú»¢¶Ä²© de charger des certificats CA pour lequels cette section est marqu¨¦e comme critical (d¨¦pend du toolkit crypto ).

Listes de r¨¦vocation de certificats (CRL)

Si un certificat est compromis, l'autorit¨¦ de certification peut la r¨¦voquer en l'incluant dans la liste de r¨¦vocation de certificats. Les listes de r¨¦vocation de certificats peuvent ¨ºtre configur¨¦es dans le fichier de configuration du serveur, du proxy et de l'agent ¨¤ l'aide du param¨¨tre TLSCRLFile. Par exemple:

TLSCRLFile=/home/zabbix/zabbix_crl_file

´Ç¨´ zabbix_crl_file peut contenir des listes de r¨¦vocation de certificats de plusieurs autorit¨¦s de certification et ressembler ¨¤:

-----BEGIN X509 CRL-----
       MIIB/DCB5QIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixkARkWA2Nv
       ...
       treZeUPjb7LSmZ3K2hpbZN7SoOZcAoHQ3GWd9npuctg=
       -----END X509 CRL-----
       -----BEGIN X509 CRL-----
       MIIB+TCB4gIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQBGRYDY29t
       ...
       CAEebS2CND3ShBedZ8YSil59O6JvaDP61lR5lNs=
       -----END X509 CRL-----

Le fichier CRL est charg¨¦ uniquement au d¨¦marrage de Áú»¢¶Ä²©. La mise ¨¤ jour de la liste de r¨¦vocation de certificats n¨¦cessite un red¨¦marrage.

Si le composant Áú»¢¶Ä²© est compil¨¦ avec OpenSSL et que des listes de r¨¦vocation de certificats sont utilis¨¦es, chaque autorit¨¦ de certification de niveau sup¨¦rieur et interm¨¦diaire des cha?nes de certificats doit avoir une liste de r¨¦vocation de certificats (elle peut ¨ºtre vide) dans TLSCRLFile.

Limites d'utilisation des extensions CRL

  • Extension Identifiant de la cl¨¦ d'autorit¨¦.
    Les listes de r¨¦vocation de certificats pour les autorit¨¦s de certification avec des noms identiques peuvent ne pas fonctionner avec mbedTLS (PolarSSL), m¨ºme avec l'extension "Identifiant de la cl¨¦ d'autorit¨¦ (Authority Key Identifier)".
? 2001-2025 by Áú»¢¶Ä²© SIA. All rights reserved.
Except where otherwise noted, Áú»¢¶Ä²© Documentation is licensed under the following license
Trademark Policy