[comment]: # ({72ab9926-72ab9926})
# 13 Speicherung von Geheimnissen

[comment]: # ({/72ab9926-72ab9926})

[comment]: # ({fdc00467-5a5d507b})
## Übersicht

Zabbix kann so konfiguriert werden, dass sensible Informationen aus einem sicheren Vault abgerufen werden. Die folgenden Secret-Management-Dienste werden unterstützt: HashiCorp Vault KV Secrets Engine - Version 2, CyberArk Vault CV12.

Secrets können zum Abrufen folgender Informationen verwendet werden:

-   [Benutzer-Makro-Werte](/manual/config/macros/secret_macros#vault-secret)
-   Datenbankzugangsdaten

Zabbix bietet schreibgeschützten Zugriff auf die Secrets in einem Vault, wobei davon ausgegangen wird, dass die Secrets von einer anderen Person verwaltet werden.

[comment]: # ({/fdc00467-5a5d507b})

[comment]: # ({0f1ca980-5cd2f0a1})
Informationen zur Konfiguration bestimmter Vault-Anbieter finden Sie unter:

- [HashiCorp-Konfiguration](/manual/config/secrets/hashicorp)
- [CyberArk-Konfiguration](/manual/config/secrets/cyberark)

[comment]: # ({/0f1ca980-5cd2f0a1})

[comment]: # ({176cd8b3-44c0f649})
## Caching von geheimen Werten

Die Werte von Vault-Geheimnis-Makros werden vom Zabbix Server bei jeder Aktualisierung der Konfigurationsdaten abgerufen und anschließend im Konfigurationscache gespeichert. Der Zabbix Proxy empfängt die Werte der Vault-Geheimnis-Makros vom Zabbix Server bei jeder Konfigurationssynchronisierung und speichert sie in seinem eigenen Konfigurationscache.

::: noteimportant
Die Verschlüsselung zwischen Zabbix Server und Proxy muss aktiviert sein; andernfalls wird eine Warnmeldung des Servers protokolliert.
:::

Um die Aktualisierung zwischengespeicherter geheimer Werte aus einem Vault manuell auszulösen, verwenden Sie die Befehlszeilen-[Option](/manual/concepts/server#runtime-control) `secrets_reload`.

Für die Datenbankanmeldeinformationen des Zabbix Frontend ist das Caching standardmäßig deaktiviert, kann jedoch durch Setzen der Option ``$DB['VAULT_CACHE'] = true`` in zabbix.conf.php aktiviert werden. Die Anmeldeinformationen werden in einem lokalen Cache unter Verwendung des temporären Verzeichnisses des Dateisystems gespeichert. Der Webserver muss das Schreiben in einen privaten temporären Ordner erlauben (zum Beispiel muss für Apache die Konfigurationsoption ``PrivateTmp=True`` gesetzt sein). Um zu steuern, wie oft der Daten-Cache aktualisiert bzw. ungültig gemacht wird, verwenden Sie die Konstante ZBX\_DATA\_CACHE\_TTL [constant](/manual/web_interface/definitions).

[comment]: # ({/176cd8b3-44c0f649})

[comment]: # ({2922f25e-df569dd2})
## TLS-Konfiguration

Um TLS für die Kommunikation zwischen Zabbix-Komponenten und dem Vault zu konfigurieren, fügen Sie dem systemweiten Standard-CA-Speicher ein von einer Zertifizierungsstelle (CA) signiertes Zertifikat hinzu.  
Wenn Sie einen anderen Speicherort verwenden möchten, geben Sie das Verzeichnis im Zabbix-Konfigurationsparameter SSLCALocation [Server](/manual/appendix/config/zabbix_server)/[Proxy](/manual/appendix/config/zabbix_proxy) an,  
legen Sie die Zertifikatdatei in diesem Verzeichnis ab und führen Sie dann den CLI-[Befehl](https://www.openssl.org/docs/manmaster/man1/c_rehash.html) aus:

    c_rehash .

[comment]: # ({/2922f25e-df569dd2})