Zabbix基于cert证书加密数据传输

IT那活儿 2022-08-01

2176

点击上方“IT那活儿”公众号，关注后了解更多内容，不管IT什么活儿，干就完了！！！

在使用zabbix监控的时候，默认的传输方式是没有加密，但是为了数据安全，防止数据泄漏，可以对zabbix的数据传输进行加密。

认证介绍

Zabbix从3.0开始支持传输层安全性（TLS）协议v.1.2加密，在Zabbix服务器，Zabbix代理，Zabbix代理，zabbix_sender和zabbix_get实用程序之间进行加密通信，支持基于证书PSA和基于预共享密钥PSK的加密。

加密对于各个组件是可选配置，Zabbix_Proxy到Zabbix Server之间可以基于证书加密或者基于预共享密钥加密。

加密方式

Zabbix支持的加密方式有两种：

基于证书PSA的加密(常用与Zabbix_Proxy但不局限于Proxy)
基于预共享密钥PSK的加密(常用与Zabbix_Agent但不局限于Agent)

今天就来说说基于PSA的加密方式。

准备工作：

Zabbix_server版本：4.0.20
Zabbix_agent版本：4.0.20

这里只说明zabbix-agent -> Zabbix-server的监控方式加密。

1. 在配置加密传输的时，要先准备自建CA证书

1.1 首先创建根证书CA所需要的目录和文件

# cd /etc/pki/CA
# mkdir -pv {certs,crl,newcerts,private} #有则无需创建
# touch {serial,index.txt}
# echo 01 >> serial # 指明证书开始编号

1.2 自签私有CA证书

(umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

生成自签证书，即根证书CA，自签证书的存放位置也要与配置文件中设置相匹配，生成证书时需要填写相应信息。

openssl req -new -x509 -key etc/pki/CA/private/cakey.pem -out /etc/pki/CA cacert.pem -days 9999

这样，自签CA证书就完成了。

1.3 生成zabbix-server和zabbix-agent的ca证书

生成zabbix-server的私钥：

(umask 077; openssl genrsa -out /etc/pki/CA/private/server.key 2048)

生成zabbix-server的公钥：

openssl req -new -key server.key -out server.csr -days 9999

颁发zabbix-server证书：

openssl ca -in /etc/pki/CA/private/server.csr -out /etc/pki/CA/certs/server.crt -days 3650

按照上面操作，继续生成zabbix-agent所需要的ca证书(步骤一样，过程略)。

2. 配置zabbix-server，开启证书认证

在zabbix-server服务目录，创建一个zabbix_ca_file的目录，用于存放证书文件。

Zabbix-server所需要的证书文件：

在Zabbix server配置文件中编辑TLS参数，如下所示：

TLSCAFile=/data/zabbix-server/zabbix_ca_file/cacert.pem
TLSCertFile=/data/zabbix-server/zabbix_ca_file/server.crt
TLSKeyFile=/data/zabbix-server/zabbix_ca_file/server.key

配置agent配置文件，TLS参数可能如下所示：

agent所需的证书文件。

TLSConnect=cert
TLSAccept=cert
TLSCAFile=/data/zabbix-server/zabbix_ca_file/cacert.pem
TLSCertFile=/data/zabbix-server/zabbix_ca_file/agent.crt
TLSKeyFile=/data/zabbix-server/zabbix_ca_file/agent.key