韓誥傭痔

Table of Contents

1 Par certificat

1 Par certificat

Aper?u

韓誥傭痔 peut utiliser des certificats RSA au format PEM, sign谷s par une autorit谷 de certification publique ou interne (CA). La v谷rification du certificat est effectu谷e sur une CA de certificat pr谷-configur谷e. Les listes de r谷vocation de certificats (CRL) peuvent 谷ventuellement 那tre utilis谷es. Chaque composant 韓誥傭痔 ne peut avoir qu'un seul certificat configur谷.

Pour plus d'informations sur la configuration et l'utilisation de l'autorit谷 de certification interne, la g谷n谷ration de demandes de certificats et leur signature, la r谷vocation de certificats, vous trouverez en ligne en grand nombre de modes d'emploi, par exemple, .

Examinez attentivement et testez vos extensions de certificat - voir Limitations sur les extensions de certificat X.509 v3.

捩硃娶硃鳥豕喧娶梗s de configuration du certificat

捩硃娶硃鳥豕喧娶梗	Obligatoire	Description
TLSCAFile	oui	Chemin d'acc豕s complet d'un fichier contenant les certificats de niveau sup谷rieur de l'autorit谷 de certification pour la v谷rification des certificats homologues. En cas de cha?ne de certificats avec plusieurs membres, ils doivent 那tre ordonn谷s : certificats de CA de niveau inf谷rieur en premier, suivi par des certificats de niveau sup谷rieur. Les certificats de plusieurs CA peuvent 那tre inclus dans un seul fichier.
TLSCRLFile	non	Chemin d'acc豕s complet d'un fichier contenant des listes de r谷vocation de certificats. Voir Listes de r谷vocation de certificats (CRL).
TLSCertFile	oui	Chemin d'acc豕s complet d'un fichier contenant un certificat (cha?ne de certificats). En cas de cha?ne de certificats avec plusieurs membres, ils doivent 那tre ordonn谷s : certificat de serveur, de proxy ou d'agent en premier, suivi des certificats de niveau inf谷rieur puis des certificats de l'autorit谷 de certification de niveau sup谷rieur.
TLSKeyFile	oui	Chemin d'acc豕s complet d'un fichier contenant une cl谷 priv谷e. D谷finissez les droits d＊acc豕s 角 ce fichier - il ne doit 那tre lisible que par l＊utilisateur de 韓誥傭痔.
TLSServerCertIssuer	non	?metteur de certificat de serveur autoris谷.
TLSServerCertSubject	non	D谷tenteur du certificat de serveur autoris谷.

Configuration examples

After setting up the necessary certificates, configure 韓誥傭痔 components to use certificate-based encryption.

Below are detailed steps for configuring:

韓誥傭痔 server
韓誥傭痔 proxy
韓誥傭痔 agent

Configuration du certificat sur le serveur 韓誥傭痔

1. Afin de v谷rifier les certificats homologues, le serveur 韓誥傭痔 doit avoir acc豕s aux fichiers avec leurs certificats d'autorit谷 de certification racine auto-sign谷s de niveau sup谷rieur. Par exemple, si nous souhaitons des certificats de deux autorit谷s de certification racine ind谷pendantes, nous pouvons placer leurs certificats dans un fichier /home/zabbix/zabbix_ca_file ainsi :

Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=韓誥傭痔 SIA, OU=Development group, CN=Root1 CA
                   ...
               Subject: DC=com, DC=zabbix, O=韓誥傭痔 SIA, OU=Development group, CN=Root1 CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE
                   ...
       -----BEGIN CERTIFICATE-----
       MIID2jCCAsKgAwIBAgIBATANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB
       ....
       9wEzdN8uTrqoyU78gi12npLj08LegRKjb5hFTVmO
       -----END CERTIFICATE-----
       Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=韓誥傭痔 SIA, OU=Development group, CN=Root2 CA
                   ...
               Subject: DC=com, DC=zabbix, O=韓誥傭痔 SIA, OU=Development group, CN=Root2 CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ....
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE
                   ....       
       -----BEGIN CERTIFICATE-----
       MIID3DCCAsSgAwIBAgIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQB
       ...
       vdGNYoSfvu41GQAR5Vj5FnRJRzv5XQOZ3B6894GY1zY=
       -----END CERTIFICATE-----

2. Placer la cha?ne de certificats du serveur 韓誥傭痔 dans un fichier, par exemple, /home/zabbix/zabbix_server.crt :

Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=韓誥傭痔 SIA, OU=Development group, CN=Signing CA
               ...
               Subject: DC=com, DC=zabbix, O=韓誥傭痔 SIA, OU=Development group, CN=韓誥傭痔 server
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                       ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Digital Signature, Key Encipherment
                   X509v3 Basic Constraints: 
                       CA:FALSE
                   ...
       -----BEGIN CERTIFICATE-----
       MIIECDCCAvCgAwIBAgIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixk
       ...
       h02u1GHiy46GI+xfR3LsPwFKlkTaaLaL/6aaoQ==
       -----END CERTIFICATE-----
       Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 2 (0x2)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=韓誥傭痔 SIA, OU=Development group, CN=Root1 CA
               ...
               Subject: DC=com, DC=zabbix, O=韓誥傭痔 SIA, OU=Development group, CN=Signing CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE, pathlen:0
               ...
       -----BEGIN CERTIFICATE-----
       MIID4TCCAsmgAwIBAgIBAjANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB
       ...
       dyCeWnvL7u5sd6ffo8iRny0QzbHKmQt/wUtcVIvWXdMIFJM0Hw==
       -----END CERTIFICATE-----

Ici, le premier est le certificat du serveur 韓誥傭痔, suivi du certificat interm谷diaire de l'autorit谷 de certification.

3. Placer la cl谷 priv谷e du serveur 韓誥傭痔 dans un fichier, par exemple, /home/zabbix/zabbix_server.key :

-----BEGIN PRIVATE KEY-----
       MIIEwAIBADANBgkqhkiG9w0BAQEFAASCBKowggSmAgEAAoIBAQC9tIXIJoVnNXDl
       ...
       IJLkhbybBYEf47MLhffWa7XvZTY=
       -----END PRIVATE KEY-----

4. Modifier les param豕tres TLS dans le fichier de configuration du serveur 韓誥傭痔 comme suit :

TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSCertFile=/home/zabbix/zabbix_server.crt
       TLSKeyFile=/home/zabbix/zabbix_server.key

Configuration du chiffrement par certificat pour le proxy 韓誥傭痔

1. Pr谷parez les fichiers avec les certificats de l'autorit谷 de certification de niveau sup谷rieur, le certificat proxy (cha?ne) et la cl谷 priv谷e, comme d谷crit dans Configuration du certificat sur le serveur 韓誥傭痔. Modifiez les param豕tres TLSCAFile, TLSCertFile, TLSKeyFile dans la configuration du proxy en cons谷quence.

2. Pour un proxy actif modifier le param豕tre TLSConnect :

TLSConnect=cert

Pour un proxy passif modifier le param豕tre TLSAccept :

TLSAccept=cert

3. Vous disposez maintenant d'une configuration de proxy minimale bas谷e sur un certificat. Vous pouvez si vous le souhaitez am谷liorer la s谷curit谷 du proxy en d谷finissant les param豕tres TLSServerCertIssuer et TLSServerCertSubject (voir Restriction de l'谷metteur et du d谷tenteur autoris谷s).

4. Dans le fichier final de configuration du proxy, les param豕tres TLS peuvent ressembler 角 ceci :

TLSConnect=cert
       TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=韓誥傭痔 SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=韓誥傭痔 server,OU=Development group,O=韓誥傭痔 SIA,DC=zabbix,DC=com
       TLSCertFile=/home/zabbix/zabbix_proxy.crt
       TLSKeyFile=/home/zabbix/zabbix_proxy.key

5. Configurer le chiffrement pour ce proxy dans l'interface 韓誥傭痔 :

Aller dans : Administration ↙ Proxys
S谷lectionner un proxy et cliquer sur l'onglet Chiffrement

Dans les exemples ci-dessous, les champs D谷livr谷 par et Sujet sont remplis - voir dans Restriction de l'谷metteur et du sujet autoris谷s pourquoi et comment utiliser ces champs.

Pour un proxy actif

Pour un proxy passif

Configuration du chiffrement par certificat pour l'agent 韓誥傭痔

1. Pr谷parer les fichiers avec les certificats de l'autorit谷 de certification de niveau sup谷rieur, le certificat agent (cha?ne) et la cl谷 priv谷e, comme d谷crit dans Configuration du certificat sur le serveur 韓誥傭痔. Modifiez les param豕tres TLSCAFile, TLSCertFile, TLSKeyFile dans la configuration de l'agent en cons谷quence.

2. Pour les surveillances actives, modifier le param豕tre TLSConnect :

TLSConnect=cert

Pour les surveillances passives, modifier le param豕treTLSAccept :

TLSAccept=cert

3. Vous disposez maintenant d'une configuration minimale agent bas谷e sur certificat. Vous pouvez si vous le souhaitez am谷liorer la s谷curit谷 des agents en d谷finissant les param豕tres TLSServerCertIssuer et TLSServerCertSubject. (voir Restriction de l'谷metteur et du sujet autoris谷s).

4. Dans le fichier final de configuration de l'agent, les param豕tres TLS peuvent ressembler 角 ceci :

TLSConnect=cert
       TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=韓誥傭痔 SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=韓誥傭痔 proxy,OU=Development group,O=韓誥傭痔 SIA,DC=zabbix,DC=com
       TLSCertFile=/home/zabbix/zabbix_agentd.crt
       TLSKeyFile=/home/zabbix/zabbix_agentd.key

(L'exemple suppose que l'h?te est surveill谷 via un proxy, d'棗迄 le CN "subject" du certificat positionn谷 sur 韓誥傭痔 proxy.)

5. Configurer le chiffrement pour cet agent dans l'interface 韓誥傭痔 :

Aller dans : Administration ↙ H?tes
S谷lectionner l'agent et cliquer sur l'onglet Chiffrement

Dans l'exemple ci-dessous, les champs D谷livr谷 par et Sujet sont remplis - voir dans Restriction de l'谷metteur et du sujet autoris谷s pourquoi et comment utiliser ces champs.

韓誥傭痔 web service

1. Prepare files with the top-level CA certificates, the 韓誥傭痔 web service certificate/certificate chain, and the private key as described in the 韓誥傭痔 server section. Then, edit the TLSCAFile, TLSCertFile, and TLSKeyFile parameters in the 韓誥傭痔 web service configuration file accordingly.

2. Edit an additional TLS parameter in the 韓誥傭痔 web service configuration file: TLSAccept=cert

TLS parameters in the final web service configuration file may look as follows:

TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSCertFile=/home/zabbix/zabbix_web_service.crt
       TLSKeyFile=/home/zabbix/zabbix_web_service.key

3. Configure 韓誥傭痔 server to connect to the TLS-configured 韓誥傭痔 web service by editing the WebServiceURL parameter in the 韓誥傭痔 server configuration file:

WebServiceURL=https://example.com

Restriction de l'谷metteur et du sujet autoris谷s

Lorsque deux composants (par exemple serveur 韓誥傭痔 et agent) 谷tablissent une connexion TLS, ils v谷rifient chacun les certificats de l'autre. Si un certificat homologue sign谷 par une autorit谷 de certification de confiance (avec un certificat de niveau sup谷rieur pr谷configur谷 dans ?TLSCAFile?), est valide, n'a pas expir谷 et passe d'autres v谷rifications, alors la communication peut continuer. L'谷metteur et le sujet du certificat ne sont pas v谷rifi谷s dans ce cas le plus simple.

Il existe un risque : toute personne poss谷dant un certificat valide peut usurper l'identit谷 de quelqu'un d'autre (par exemple, un certificat d'h?te peut 那tre utilis谷 pour emprunter l'identit谷 d'un serveur). Cela peut 那tre acceptable dans les petits environnements 棗迄 les certificats sont sign谷s par une autorit谷 de certification interne d谷di谷e et 棗迄 le risque de personnification est faible.

Si votre autorit谷 de certification de niveau sup谷rieur est utilis谷e pour 谷mettre d'autres certificats qui ne doivent pas 那tre accept谷s par 韓誥傭痔 ou si vous souhaitez r谷duire le risque d'usurpation d'identit谷, vous pouvez restreindre les certificats autoris谷s en sp谷cifiant leurs cha?nes d'谷metteur et de sujet.

Par exemple, vous pouvez 谷crire dans le fichier de configuration du proxy 韓誥傭痔 :

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=韓誥傭痔 SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=韓誥傭痔 server,OU=Development group,O=韓誥傭痔 SIA,DC=zabbix,DC=com

Avec ces param豕tres, un proxy actif ne communiquera pas avec le serveur 韓誥傭痔 avec une cha?ne 谷mettrice ou une cha?ne sujet diff谷rente dans le certificat, un proxy passif n'acceptera pas les demandes de ce serveur.

Quelques notes sur la correspondance de cha?ne 谷metteur ou sujet :

Les cha?nes 谷metteur et sujet sont v谷rifi谷es ind谷pendamment. Les deux sont facultatives.
Les caract豕res UTF-8 sont autoris谷s.
Une cha?ne non sp谷cifi谷e signifie que toute cha?ne est accept谷e.
Les cha?nes sont compar谷es "telles quelles", elles doivent 那tre exactement identiques pour correspondre.
Les caract豕res g谷n谷riques et les expressions r谷guli豕resne sont pas pris en charge dans la correspondance.
Seules certaines exigences de la sont impl谷ment谷es :
1. caract豕res d'谷chappement '"' (U+0022), '+' U+002B, ',' U+002C, ';' U+003B, '<' U+003C, '>' U+003E, '' U+005C n'importe 棗迄 dans la cha?ne.
2. caract豕res d'谷chappement (' ' U+0020) ou le signe di豕se ('#' U+0023) au d谷but de la cha?ne.
3. caract豕res d'谷chappement (' ' U+0020) 角 la fin de la cha?ne.
La correspondance 谷choue si un caract豕re nul (U+0000) est rencontr谷 (La [[http://tools.ietf.org/html/rfc4514|RFC 4514]] le permet).
Les exigences de la [[http://tools.ietf.org/html/rfc4517|RFC 4517 Lightweight Directory Access Protocol (LDAP) : Syntaxes et r豕gles de correspondance]] et de la [[http://tools.ietf.org/html/rfc4518|RFC 4518 Lightweight Directory Access Protocol (LDAP) : Pr谷paration de cha?nes internationalis谷es]] ne sont pas pris en charge en raison de la quantit谷 de travail requise.

L'ordre des champs dans les cha?nes D谷livrer par et Sujet et le formatage sont importants ! 韓誥傭痔 suit les recommandations de la et utilise l'ordre "inverse" des champs.

L'ordre inverse peut 那tre illustr谷 par l'exemple suivant :

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=韓誥傭痔 SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=韓誥傭痔 proxy,OU=Development group,O=韓誥傭痔 SIA,DC=zabbix,DC=com

Notez qu'il commence par le niveau bas (CN), passe au niveau interm谷diaire (OU, O) et termine par les champs de niveau sup谷rieur (DC).

OpenSSL affiche par d谷faut les champs Issuer et Subject du certificat dans l'ordre "normal", en fonction des options suppl谷mentaires utilis谷es :

$ openssl x509 -noout -in /home/zabbix/zabbix_proxy.crt -issuer -subject
       issuer= /DC=com/DC=zabbix/O=韓誥傭痔 SIA/OU=Development group/CN=Signing CA
       subject= /DC=com/DC=zabbix/O=韓誥傭痔 SIA/OU=Development group/CN=韓誥傭痔 proxy
       
       $ openssl x509 -noout -text -in /home/zabbix/zabbix_proxy.crt
       Certificate:
               ...
               Issuer: DC=com, DC=zabbix, O=韓誥傭痔 SIA, OU=Development group, CN=Signing CA
           ...
               Subject: DC=com, DC=zabbix, O=韓誥傭痔 SIA, OU=Development group, CN=韓誥傭痔 proxy

Ici, les cha?nes Issuer et Subject commencent par le niveau sup谷rieur (DC) et se terminent par un champ de bas niveau (CN), les espaces et les s谷parateurs de champs d谷pendent des options utilis谷es. Aucune de ces valeurs ne correspondra dans les champs D谷livr谷 et Sujet de 韓誥傭痔 !

Pour obtenir des cha?nes Issuer et Subject correctes utilisables dans 韓誥傭痔, ex谷cutez OpenSSL avec les options sp谷ciales
-nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname :

$ openssl x509 -noout -issuer -subject \
               -nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname \
               -in /home/zabbix/zabbix_proxy.crt
       issuer= CN=Signing CA,OU=Development group,O=韓誥傭痔 SIA,DC=zabbix,DC=com
       subject= CN=韓誥傭痔 proxy,OU=Development group,O=韓誥傭痔 SIA,DC=zabbix,DC=com

Maintenant, les champs de cha?nes sont dans l'ordre inverse, les champs sont s谷par谷s par des virgules, peuvent 那tre utilis谷s dans les fichiers de configuration et l'interface 韓誥傭痔.

Rules for matching `Issuer` and `Subject` strings

The rules for matching Issuer and Subject strings are as follows:

Issuer and Subject strings are checked independently. Both are optional.
An unspecified string means that any string is accepted.
Strings are compared as is and must match exactly.
UTF-8 characters are supported. However, wildcards (*) or regular expressions are not supported.
The following requirements are implemented - characters that require escaping (with a '\' backslash, U+005C):
- anywhere in the string: '"' (U+0022), '+' (U+002B), ',' (U+002C), ';' (U+003B), '<' (U+003C), '>' (U+003E), '\\' (U+005C);
- at the beginning of the string: space (' ', U+0020) or number sign ('#', U+0023);
- at the end of the string: space (' ', U+0020).
Null characters (U+0000) are not supported. If a null character is encountered, the matching will fail.
and standards are not supported.

For example, if Issuer and Subject organization (O) strings contain trailing spaces and the Subject organizational unit (OU) string contains double quotes, these characters must be escaped:

TLSServerCertIssuer=CN=Signing CA,OU=Development head,O=\ Example SIA\ ,DC=example,DC=com
       TLSServerCertSubject=CN=韓誥傭痔 server,OU=Development group \"5\",O=\ Example SIA\ ,DC=example,DC=com

Field order and formatting

韓誥傭痔 follows the recommendations of , which specifies a "reverse" order for these fields, starting with the lowest-level fields (CN), proceeding to the mid-level fields (OU, O), and concluding with the highest-level fields (DC).

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=韓誥傭痔 SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=韓誥傭痔 proxy,OU=Development group,O=韓誥傭痔 SIA,DC=zabbix,DC=com

In contrast, OpenSSL by default displays the Issuer and Subject strings in top-level to low-level order. In the following example, Issuer and Subject fields start with the top-level (DC) and end with the low-level (CN) field. The formatting with spaces and field separators also varies based on the options used, and thus will not match the format required by 韓誥傭痔.

$ openssl x509 -noout -in /home/zabbix/zabbix_proxy.crt -issuer -subject
       issuer= /DC=com/DC=zabbix/O=韓誥傭痔 SIA/OU=Development group/CN=Signing CA
       subject= /DC=com/DC=zabbix/O=韓誥傭痔 SIA/OU=Development group/CN=韓誥傭痔 proxy
       
       $ openssl x509 -noout -text -in /home/zabbix/zabbix_proxy.crt
       Certificate:
           ...
               Issuer: DC=com, DC=zabbix, O=韓誥傭痔 SIA, OU=Development group, CN=Signing CA
               ...
               Subject: DC=com, DC=zabbix, O=韓誥傭痔 SIA, OU=Development group, CN=韓誥傭痔 proxy

To format Issuer and Subject strings correctly for 韓誥傭痔, invoke OpenSSL with the following options:

$ openssl x509 -noout -issuer -subject \
           -nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname\
           -in /home/zabbix/zabbix_proxy.crt

The output will then be in reverse order, comma-separated, and usable in 韓誥傭痔 configuration files and frontend:

issuer= CN=Signing CA,OU=Development group,O=韓誥傭痔 SIA,DC=zabbix,DC=com
       subject= CN=韓誥傭痔 proxy,OU=Development group,O=韓誥傭痔 SIA,DC=zabbix,DC=com

Limitations sur les extensions de certificat X.509 v3

Extension Nom de sujet alternatif (subjectAltName).
Les noms de sujet alternatifs de l'extension subjectAltName (comme adresse IP, adresse e-mail) ne sont pas support谷s par 韓誥傭痔. Seule la valeur du champ "Sujet" peut 那tre v谷rifi谷e dans 韓誥傭痔 (voir Restriction de l'谷metteur et du sujet autoris谷s).
Si un certificat utilise l'extension subjectAltName alors le r谷sultat d谷pendra d'une combinaison particuli豕re des kits d'outils cryptographiques avec lesquels les composants 韓誥傭痔 sont compil谷s (cela peut fonctionner ou pas, 韓誥傭痔 peut refuser d'accepter de tels certificats de ses pairs).
Extension Utilisation de cl谷谷tendue.
Si utilis谷 alors les deux param豕tres clientAuth (Authentification du client WWW TLS) et serverAuth (Authentification du serveur WWW TLS) sont g谷n谷ralement n谷cessaires.
Par exemple, dans les v谷rifications passives, l'agent 韓誥傭痔 joue un r?le de serveur TLS, ainsi serverAuth doit 那tre d谷fini dans le certificat de l'agent. Pour les v谷rifications actives, le certificat de l'agent n谷cessite de d谷finir clientAuth.
GnuTLS 谷met un avertissement en cas de violation de l'utilisation de la cl谷, mais autorise la communication.
Extension Contraintes de nom.
Toutes les bo?tes 角 outils cryptographiques ne le prennent pas en charge. Cette extension peut emp那cher 韓誥傭痔 de charger des certificats CA pour lequels cette section est marqu谷e comme critical (d谷pend du toolkit crypto).

Listes de r谷vocation de certificats (CRL)

Si un certificat est compromis, l'autorit谷 de certification peut la r谷voquer en l'incluant dans la liste de r谷vocation de certificats. Les listes de r谷vocation de certificats peuvent 那tre configur谷es dans le fichier de configuration du serveur, du proxy et de l'agent 角 l'aide du param豕tre TLSCRLFile. Par exemple :

TLSCRLFile=/home/zabbix/zabbix_crl_file

棗迄 zabbix_crl_file peut contenir des listes de r谷vocation de certificats de plusieurs autorit谷s de certification et ressembler 角 :

-----BEGIN X509 CRL-----
       MIIB/DCB5QIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixkARkWA2Nv
       ...
       treZeUPjb7LSmZ3K2hpbZN7SoOZcAoHQ3GWd9npuctg=
       -----END X509 CRL-----
       -----BEGIN X509 CRL-----
       MIIB+TCB4gIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQBGRYDY29t
       ...
       CAEebS2CND3ShBedZ8YSil59O6JvaDP61lR5lNs=
       -----END X509 CRL-----

Le fichier CRL est charg谷 uniquement au d谷marrage de 韓誥傭痔. La mise 角 jour de la liste de r谷vocation de certificats n谷cessite un red谷marrage.

Si le composant 韓誥傭痔 est compil谷 avec OpenSSL et que des listes de r谷vocation de certificats sont utilis谷es, chaque autorit谷 de certification de niveau sup谷rieur et interm谷diaire des cha?nes de certificats doit avoir une liste de r谷vocation de certificats (elle peut 那tre vide) dans TLSCRLFile.