[comment]: # ({72ab9926-72ab9926})
# 13 Conservazione dei segreti

[comment]: # ({/72ab9926-72ab9926})

[comment]: # ({fdc00467-5a5d507b})
## Panoramica

Zabbix può essere configurato per recuperare informazioni sensibili da un vault sicuro. Sono supportati i seguenti servizi di gestione dei segreti: HashiCorp Vault KV Secrets Engine - Version 2, CyberArk Vault CV12.

I segreti possono essere utilizzati per recuperare:

-   [valori delle macro utente](/manual/config/macros/secret_macros#vault-secret)
-   credenziali di accesso al database

Zabbix fornisce accesso in sola lettura ai segreti in un vault, presupponendo che i segreti siano gestiti da un'altra persona.

[comment]: # ({/fdc00467-5a5d507b})

[comment]: # ({0f1ca980-5cd2f0a1})

For information about specific vault provider configuration, see:
- [HashiCorp configuration](/manual/config/secrets/hashicorp)
- [CyberArk configuration](/manual/config/secrets/cyberark)

[comment]: # ({/0f1ca980-5cd2f0a1})

[comment]: # ({176cd8b3-44c0f649})
## Caching dei valori segreti

I valori delle macro segrete del vault vengono recuperati da Zabbix server a ogni aggiornamento dei dati di configurazione e quindi memorizzati nella cache di configurazione. Zabbix proxy riceve i valori delle macro segrete del vault da Zabbix server a ogni sincronizzazione della configurazione e li memorizza nella propria cache di configurazione.

::: noteimportant
La crittografia deve essere abilitata tra Zabbix server e proxy; in caso contrario, viene registrato un messaggio di avviso del server.
:::

Per forzare manualmente l'aggiornamento dei valori segreti memorizzati nella cache da un vault, usa l'opzione da riga di comando [secrets_reload](/manual/concepts/server#runtime-control).

Per le credenziali del database di Zabbix frontend, la memorizzazione nella cache è disabilitata per impostazione predefinita, ma può essere abilitata impostando l'opzione ``$DB['VAULT_CACHE'] = true`` in zabbix.conf.php. Le credenziali verranno memorizzate in una cache locale usando la directory dei file temporanei del filesystem. Il web server deve consentire la scrittura in una cartella temporanea privata (ad esempio, per Apache deve essere impostata l'opzione di configurazione ``PrivateTmp=True``). Per controllare la frequenza con cui la cache dei dati viene aggiornata o invalidata, usa la [costante](/manual/web_interface/definitions) ZBX\_DATA\_CACHE\_TTL.

[comment]: # ({/176cd8b3-44c0f649})

[comment]: # ({2922f25e-df569dd2})
## Configurazione TLS

Per configurare TLS per la comunicazione tra i componenti di Zabbix e il vault, aggiungere un certificato firmato da un'autorità di certificazione (CA) allo store CA predefinito a livello di sistema.  
Per usare un'altra posizione, specificare la directory nel parametro di configurazione SSLCALocation di Zabbix [server](/manual/appendix/config/zabbix_server)/[proxy](/manual/appendix/config/zabbix_proxy),  
posizionare il file del certificato all'interno di quella directory, quindi eseguire il [command](https://www.openssl.org/docs/manmaster/man1/c_rehash.html) CLI:

    c_rehash .

[comment]: # ({/2922f25e-df569dd2})