[comment]: # ({fb73521a-fb73521a}) # 1 Problèmes de type de connexion ou d'autorisation [comment]: # ({/fb73521a-fb73521a}) [comment]: # ({0b784e66-0b784e66}) #### Le serveur est configuré pour se connecter avec PSK à l'agent, mais l'agent n'accepte que les connexions non chiffrées Dans le journal du serveur ou du proxy (avec *GnuTLS* 3.3.16) Get value from agent failed: zbx_tls_connect(): gnutls_handshake() failed: \ -110 The TLS connection was non-properly terminated. Dans le journal du serveur ou du proxy (avec *OpenSSL* 1.0.2c) Get value from agent failed: TCP connection successful, cannot establish TLS to [[127.0.0.1]:10050]: \ Connection closed by peer. Check allowed connection types and access rights [comment]: # ({/0b784e66-0b784e66}) [comment]: # ({ed16b359-ed16b359}) #### Un côté se connecte avec le certificat mais l'autre côté n'accepte que PSK ou vice versa Dans n'importe quel journal (avec *GnuTLS*) : failed to accept an incoming connection: from 127.0.0.1: zbx_tls_accept(): gnutls_handshake() failed:\ -21 Could not negotiate a supported cipher suite. Dans n'importe quel journal (avec *OpenSSL* 1.0.2c) : failed to accept an incoming connection: from 127.0.0.1: TLS handshake returned error code 1:\ file .\ssl\s3_srvr.c line 1411: error:1408A0C1:SSL routines:ssl3_get_client_hello:no shared cipher:\ TLS write fatal alert "handshake failure" [comment]: # ({/ed16b359-ed16b359}) [comment]: # ({16bf8f0a-16bf8f0a}) #### Tentative d'utiliser le sender Zabbix compilé avec le support TLS pour envoyer des données au serveur/proxy Zabbix compilé sans TLS [comment]: # ({/16bf8f0a-16bf8f0a}) [comment]: # ({01fece69-01fece69}) ##### Dans le journal côté connexion : Linux : ...In zbx_tls_init_child() ...OpenSSL library (version OpenSSL 1.1.1 11 Sep 2018) initialized ... ...In zbx_tls_connect(): psk_identity:"PSK test sender" ...End of zbx_tls_connect():FAIL error:'connection closed by peer' ...send value error: TCP successful, cannot establish TLS to [[localhost]:10051]: connection closed by peer Windows : ...OpenSSL library (version OpenSSL 1.1.1a 20 Nov 2018) initialized ... ...In zbx_tls_connect(): psk_identity:"PSK test sender" ...zbx_psk_client_cb() requested PSK identity "PSK test sender" ...End of zbx_tls_connect():FAIL error:'SSL_connect() I/O error: [0x00000000] The operation completed successfully.' ...send value error: TCP successful, cannot establish TLS to [[192.168.1.2]:10051]: SSL_connect() I/O error: [0x00000000] The operation completed successfully. [comment]: # ({/01fece69-01fece69}) [comment]: # ({2cb90759-2cb90759}) ##### Dans le journal côté serveur/proxy : ...failed to accept an incoming connection: from 127.0.0.1: support for TLS was not compiled in [comment]: # ({/2cb90759-2cb90759}) [comment]: # ({aa226719-aa226719}) #### Un côté se connecte à PSK mais un autre utilise LibreSSL ou a été compilé sans support de chiffrement LibreSSL ne supporte pas PSK. Dans le journal côté connexion : ...TCP successful, cannot establish TLS to [[192.168.1.2]:10050]: SSL_connect() I/O error: [0] Success Dans journal de l'autre côté : ...failed to accept an incoming connection: from 192.168.1.2: support for PSK was not compiled in Dans l'interface Web Zabbix : Get value from agent failed: TCP successful, cannot establish TLS to [[192.168.1.2]:10050]: SSL_connect() I/O error: [0] Success [comment]: # ({/aa226719-aa226719}) [comment]: # ({c03da918-c03da918}) #### Un côté se connecte à PSK mais un autre utilise OpenSSL avec le support PSK désactivé Dans le journal côté connexion : ...TCP successful, cannot establish TLS to [[192.168.1.2]:10050]: SSL_connect() set result code to SSL_ERROR_SSL: file ../ssl/record/rec_layer_s3.c line 1536: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure: SSL alert number 40: TLS read fatal alert "handshake failure" Dans le journal de l'autre côté : ...failed to accept an incoming connection: from 192.168.1.2: TLS handshake set result code to 1: file ssl/statem/statem_srvr.c line 1422: error:1417A0C1:SSL routines:tls_post_process_client_hello:no shared cipher: TLS write fatal alert "handshake failure" [comment]: # ({/c03da918-c03da918})