[comment]: # ({09d7d659-09d7d659}) # 1 Sertifikātu izmantošana [comment]: # ({/09d7d659-09d7d659}) [comment]: # ({109d2e4c-685d1488}) #### Pārskats Zabbix var izmantot RSA sertifikātus PEM formātā, ko parakstījusi publiska vai iekšēja sertifikātu iestāde (CA). Sertifikātu verifikācija tiek veikta, salīdzinot ar iepriekš konfigurētu CA sertifikātu. Pēc izvēles var izmantot [sertifikātu atsaukšanas sarakstus (CRL)](#certificate-revocation-lists-crl). Katram Zabbix komponentam var būt konfigurēts tikai viens sertifikāts. Plašāku informāciju par iekšējas CA iestatīšanu un uzturēšanu, sertifikātu pieprasījumu ģenerēšanu un parakstīšanu, kā arī sertifikātu atsaukšanu skatiet pamācībās, piemēram, [OpenSSL PKI Tutorial v2.0](http://pki-tutorial.readthedocs.org/en/latest/). Rūpīgi izvērtējiet un pārbaudiet savus sertifikātu paplašinājumus. Plašāku informāciju skatiet sadaļā [X.509 v3 sertifikātu paplašinājumu izmantošanas ierobežojumi](#limitations-on-using-x.509-v3-certificate-extensions). [comment]: # ({/109d2e4c-685d1488}) [comment]: # ({77ce4f81-a572d979}) #### Sertifikātu konfigurācijas parametri Tālāk norādītie konfigurācijas parametri tiek atbalstīti sertifikātu iestatīšanai Zabbix komponentos. |Parameter|Mandatory|Description| |--|-|--------| |*TLSCAFile*|yes|Pilns faila ceļš uz failu, kurā ir augstākā līmeņa CA sertifikāti peer sertifikāta verifikācijai.
Ja tiek izmantota sertifikātu ķēde ar vairākiem dalībniekiem, sertifikātus sakārtojiet tā, lai zemāka līmeņa CA sertifikāti būtu pirmie, kam seko augstāka līmeņa CA sertifikāti.
Vienā failā var iekļaut vairāku CA sertifikātus.| |*TLSCRLFile*|no|Pilns faila ceļš uz failu, kurā ir [sertifikātu atsaukšanas saraksti (CRL)](#certificate-revocation-lists-crl).| |*TLSCertFile*|yes|Pilns faila ceļš uz failu, kurā ir sertifikāts.
Ja tiek izmantota sertifikātu ķēde ar vairākiem dalībniekiem, sertifikātus sakārtojiet tā, lai vispirms būtu servera, starpniekservera vai aģenta sertifikāts, kam seko zemāka līmeņa CA sertifikāti, un beigās augstāka līmeņa CA sertifikāti.| |*TLSKeyFile*|yes|Pilns faila ceļš uz failu, kurā ir privātā atslēga.
Nodrošiniet, ka šo failu var lasīt tikai [Zabbix lietotājs](/manual/installation/install#create-user-account), iestatot atbilstošas piekļuves tiesības.| |*TLSServerCertIssuer*|no|Atļautais servera sertifikāta izdevējs.| |*TLSServerCertSubject*|no|Atļautais servera sertifikāta subjekts.| [comment]: # ({/77ce4f81-a572d979}) [comment]: # ({bc3e0bad-42dcb9db}) #### Konfigurācijas piemēri Pēc nepieciešamo sertifikātu iestatīšanas konfigurējiet Zabbix komponentus, lai izmantotu uz sertifikātiem balstītu šifrēšanu. Tālāk ir sniegti detalizēti soļi, kā konfigurēt: - [Zabbix serveris](#zabbix-server) - [Zabbix starpniekserveris](#zabbix-proxy) - [Zabbix aģents](#zabbix-agent) [comment]: # ({/bc3e0bad-42dcb9db}) [comment]: # ({72103762-34bcf646}) ##### Zabbix serveris 1\. Sagatavojiet CA sertifikāta failu. Lai verificētu otras puses sertifikātus, Zabbix serverim jābūt piekļuvei failam, kas satur augstākā līmeņa, pašparakstītos saknes CA sertifikātus. Piemēram, ja ir nepieciešami sertifikāti no divām neatkarīgām saknes CA, ievietojiet tos failā `/home/zabbix/zabbix_ca_file.crt`: ```ini Certificate: Data: Version: 3 (0x2) Serial Number: 1 (0x1) Signature Algorithm: sha1WithRSAEncryption Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA ... Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) ... X509v3 extensions: X509v3 Key Usage: critical Certificate Sign, CRL Sign X509v3 Basic Constraints: critical CA:TRUE ... -----BEGIN CERTIFICATE----- MIID2jCCAsKgAwIBAgIBATANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB .... 9wEzdN8uTrqoyU78gi12npLj08LegRKjb5hFTVmO -----END CERTIFICATE----- Certificate: Data: Version: 3 (0x2) Serial Number: 1 (0x1) Signature Algorithm: sha1WithRSAEncryption Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA ... Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) .... X509v3 extensions: X509v3 Key Usage: critical Certificate Sign, CRL Sign X509v3 Basic Constraints: critical CA:TRUE .... -----BEGIN CERTIFICATE----- MIID3DCCAsSgAwIBAgIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQB ... vdGNYoSfvu41GQAR5Vj5FnRJRzv5XQOZ3B6894GY1zY= -----END CERTIFICATE----- ``` 2\. Ievietojiet Zabbix servera sertifikātu/sertifikātu ķēdi failā, piemēram, `/home/zabbix/zabbix_server.crt`. Pirmais sertifikāts ir Zabbix servera sertifikāts, kam seko starpniek-CA sertifikāts: ```ini Certificate: Data: Version: 3 (0x2) Serial Number: 1 (0x1) Signature Algorithm: sha1WithRSAEncryption Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA ... Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix server Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) ... X509v3 extensions: X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Basic Constraints: CA:FALSE ... -----BEGIN CERTIFICATE----- MIIECDCCAvCgAwIBAgIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixk ... h02u1GHiy46GI+xfR3LsPwFKlkTaaLaL/6aaoQ== -----END CERTIFICATE----- Certificate: Data: Version: 3 (0x2) Serial Number: 2 (0x2) Signature Algorithm: sha1WithRSAEncryption Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA ... Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) ... X509v3 extensions: X509v3 Key Usage: critical Certificate Sign, CRL Sign X509v3 Basic Constraints: critical CA:TRUE, pathlen:0 ... -----BEGIN CERTIFICATE----- MIID4TCCAsmgAwIBAgIBAjANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB ... dyCeWnvL7u5sd6ffo8iRny0QzbHKmQt/wUtcVIvWXdMIFJM0Hw== -----END CERTIFICATE----- ``` ::: noteclassic Izmantojiet tikai iepriekš minētos atribūtus gan klienta, gan servera sertifikātiem, lai neietekmētu sertifikātu verificēšanas procesu. Piemēram, OpenSSL var neizdoties izveidot šifrētu savienojumu, ja tiek izmantoti *X509v3 Subject Alternative Name* vai *Netscape Cert Type* paplašinājumi. Plašāku informāciju skatiet sadaļā [Ierobežojumi X.509 v3 sertifikātu paplašinājumu izmantošanā](#limitations-on-using-x.509-v3-certificate-extensions). ::: 3\. Ievietojiet Zabbix servera privāto atslēgu failā, piemēram, `/home/zabbix/zabbix_server.key`: ```ini -----BEGIN PRIVATE KEY----- MIIEwAIBADANBgkqhkiG9w0BAQEFAASCBKowggSmAgEAAoIBAQC9tIXIJoVnNXDl ... IJLkhbybBYEf47MLhffWa7XvZTY= -----END PRIVATE KEY----- ``` 4\. Rediģējiet TLS konfigurācijas parametrus [Zabbix servera konfigurācijas failā](/manual/appendix/config/zabbix_server): ```ini TLSCAFile=/home/zabbix/zabbix_ca_file.crt TLSCertFile=/home/zabbix/zabbix_server.crt TLSKeyFile=/home/zabbix/zabbix_server.key ``` [comment]: # ({/72103762-34bcf646}) [comment]: # ({04167a1b-54ac87c7}) ##### Zabbix starpniekserveris 1\. Sagatavojiet failus ar augstākā līmeņa CA sertifikātiem, Zabbix starpniekservera sertifikātu/sertifikātu ķēdi un privāto atslēgu, kā aprakstīts sadaļā [Zabbix serveris](#zabbix-server). Pēc tam attiecīgi rediģējiet parametrus `TLSCAFile`, `TLSCertFile` un `TLSKeyFile` [Zabbix starpniekservera konfigurācijas failā](/manual/appendix/config/zabbix_proxy). 2\. Rediģējiet papildu TLS parametrus [Zabbix starpniekservera konfigurācijas failā](/manual/appendix/config/zabbix_proxy): - Aktīvam starpniekserverim: `TLSConnect=cert` - Pasīvam starpniekserverim: `TLSAccept=cert` ::: noteclassic Lai uzlabotu starpniekservera drošību, varat iestatīt arī parametrus `TLSServerCertIssuer` un `TLSServerCertSubject`. Papildinformāciju skatiet sadaļā [Atļautā sertifikāta izdevēja un subjekta ierobežošana](#restricting-allowed-certificate-issuer-and-subject). ::: TLS parametri galīgajā starpniekservera konfigurācijas failā var izskatīties šādi: ```ini TLSConnect=cert TLSAccept=cert TLSCAFile=/home/zabbix/zabbix_ca_file.crt TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com TLSServerCertSubject=CN=Zabbix server,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com TLSCertFile=/home/zabbix/zabbix_proxy.crt TLSKeyFile=/home/zabbix/zabbix_proxy.key ``` 3\. Konfigurējiet šim starpniekserverim šifrēšanu Zabbix lietotāja saskarnē: - Dodieties uz: *Administration → Proxies*. - Atlasiet starpniekserveri un noklikšķiniet uz cilnes *Encryption*. Tālāk redzamajos piemēros lauki *Issuer* un *Subject* ir aizpildīti. Papildinformāciju par to, kāpēc un kā izmantot šos laukus, skatiet sadaļā [Atļautā sertifikāta izdevēja un subjekta ierobežošana](#restricting-allowed-certificate-issuer-and-subject). Aktīvam starpniekserverim: ![](../../../assets/en/manual/encryption/proxy_active_cert.png){width="600"} Pasīvam starpniekserverim: ![](../../../assets/en/manual/encryption/proxy_passive_cert.png){width="600"} [comment]: # ({/04167a1b-54ac87c7}) [comment]: # ({e2b2b9c2-d2f8a033}) ##### Zabbix aģents 1\. Sagatavojiet failus ar augstākā līmeņa CA sertifikātiem, Zabbix aģenta sertifikātu/sertifikātu ķēdi un privāto atslēgu, kā aprakstīts sadaļā [Zabbix serveris](#zabbix-server). Pēc tam attiecīgi rediģējiet parametrus `TLSCAFile`, `TLSCertFile` un `TLSKeyFile` [Zabbix aģenta konfigurācijas failā](/manual/appendix/config/zabbix_agentd). 2\. Rediģējiet papildu TLS parametrus [Zabbix aģenta konfigurācijas failā](/manual/appendix/config/zabbix_agentd): - Aktīvajam aģentam: `TLSConnect=cert` - Pasīvajam aģentam: `TLSAccept=cert` ::: noteclassic Lai uzlabotu aģenta drošību, varat iestatīt parametrus `TLSServerCertIssuer` un `TLSServerCertSubject`. Plašāku informāciju skatiet sadaļā [Atļautā sertifikāta izdevēja un subjekta ierobežošana](#restricting-allowed-certificate-issuer-and-subject). ::: TLS parametri galīgajā aģenta konfigurācijas failā var izskatīties šādi. Ņemiet vērā, ka piemērā ir pieņemts, ka hosts tiek uzraudzīts ar starpniekserveri, tāpēc tas ir norādīts kā sertifikāta subjekts: ```ini TLSConnect=cert TLSAccept=cert TLSCAFile=/home/zabbix/zabbix_ca_file.crt TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com TLSCertFile=/home/zabbix/zabbix_agentd.crt TLSKeyFile=/home/zabbix/zabbix_agentd.key ``` 3\. Konfigurējiet šifrēšanu Zabbix lietotāja saskarnē hostam, kuru uzrauga šis aģents. - Dodieties uz: *Datu ievākšana → Hosti*. - Atlasiet hostu un noklikšķiniet uz cilnes *Šifrēšana*. Tālāk redzamajā piemērā lauki *Izdevējs* un *Subjekts* ir aizpildīti. Plašāku informāciju par to, kāpēc un kā izmantot šos laukus, skatiet sadaļā [Atļautā sertifikāta izdevēja un subjekta ierobežošana](#restricting-allowed-certificate-issuer-and-subject). ![](../../../assets/en/manual/encryption/agent_config.png){width="600"} [comment]: # ({/e2b2b9c2-d2f8a033}) [comment]: # ({47d65781-94a00d14}) ##### Zabbix tīmekļa serviss 1\. Sagatavojiet failus ar augstākā līmeņa CA sertifikātiem, Zabbix tīmekļa servisa sertifikātu/sertifikātu ķēdi un privāto atslēgu, kā aprakstīts sadaļā [Zabbix serveris](#zabbix-server). Pēc tam attiecīgi rediģējiet parametrus `TLSCAFile`, `TLSCertFile` un `TLSKeyFile` [Zabbix tīmekļa servisa konfigurācijas failā](/manual/appendix/config/zabbix_web_service). 2\. Rediģējiet papildu TLS parametru [Zabbix tīmekļa servisa konfigurācijas failā](/manual/appendix/config/zabbix_web_service): `TLSAccept=cert` TLS parametri gala tīmekļa servisa konfigurācijas failā var izskatīties šādi: ```ini TLSAccept=cert TLSCAFile=/home/zabbix/zabbix_ca_file.crt TLSCertFile=/home/zabbix/zabbix_web_service.crt TLSKeyFile=/home/zabbix/zabbix_web_service.key ``` 3\. Konfigurējiet Zabbix serveri, lai tas izveidotu savienojumu ar TLS konfigurēto Zabbix tīmekļa servisu, rediģējot parametru `WebServiceURL` [Zabbix servera konfigurācijas failā](/manual/appendix/config/zabbix_server): ```ini WebServiceURL=https://example.com:443/report ``` [comment]: # ({/47d65781-94a00d14}) [comment]: # ({70caa4a5-0f34d758}) #### Atļautā sertifikāta izdevēja un subjekta ierobežošana Kad divi Zabbix komponenti (piemēram, serveris un aģents) izveido TLS savienojumu, tie pārbauda viens otra sertifikātus. Ja otras puses sertifikātu ir parakstījis uzticams CA (ar iepriekš konfigurētu augstākā līmeņa sertifikātu `TLSCAFile`), tas ir derīgs, tam nav beidzies derīguma termiņš un tas iztur citas pārbaudes, tad saziņa starp komponentiem var turpināties. Šajā vienkāršākajā gadījumā sertifikāta izdevējs un subjekts netiek pārbaudīti. Tomēr tas rada risku: ikviens, kam ir derīgs sertifikāts, var uzdoties par jebkuru citu (piemēram, hosta sertifikātu var izmantot, lai uzdotos par serveri). Lai gan tas var būt pieņemami nelielās vidēs, kur sertifikātus paraksta īpašs iekšējs CA un uzdošanās risks ir zems, lielākās vai pret drošību jutīgākās vidēs ar to var nepietikt. Ja jūsu augstākā līmeņa CA izsniedz sertifikātus, kurus Zabbix nevajadzētu pieņemt, vai ja vēlaties samazināt uzdošanās risku, varat ierobežot atļautos sertifikātus, norādot to izdevēju un subjektu. Piemēram, Zabbix starpniekservera konfigurācijas failā var norādīt: ```ini TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com TLSServerCertSubject=CN=Zabbix server,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com ``` Izmantojot šos iestatījumus, aktīvs starpniekserveris nesazināsies ar Zabbix serveri, kura sertifikātam ir cits izdevējs vai subjekts. Līdzīgi arī pasīvs starpniekserveris nepieņems pieprasījumus no šāda servera. [comment]: # ({/70caa4a5-0f34d758}) [comment]: # ({bd9b46b2-5d9c487d}) ##### `Issuer` un `Subject` virkņu atbilstības noteikumi `Issuer` un `Subject` virkņu atbilstības noteikumi ir šādi: - `Issuer` un `Subject` virknes tiek pārbaudītas neatkarīgi. Abas ir neobligātas. - Nenorādīta virkne nozīmē, ka tiek pieņemta jebkura virkne. - Virknes tiek salīdzinātas *kā ir*, un tām ir jāsakrīt precīzi. - Tiek atbalstītas UTF-8 rakstzīmes. Tomēr aizstājējzīmes (`*`) vai regulārās izteiksmes netiek atbalstītas. - Ir ieviestas šādas [RFC 4514](http://tools.ietf.org/html/rfc4514) prasības — rakstzīmes, kurām nepieciešama atsoļošana (ar atpakaļslīpsvītru '`\`', U+005C): - jebkurā virknes vietā: '`"`' (U+0022), '`+`' (U+002B), '`,`' (U+002C), '`;`' (U+003B), '`<`' (U+003C), '`>`' (U+003E), '`\\`' (U+005C); - virknes sākumā: atstarpe (' ', U+0020) vai numura zīme ('`#`', U+0023); - virknes beigās: atstarpe (' ', U+0020). - Nulles rakstzīmes (U+0000) netiek atbalstītas. Ja tiek konstatēta nulles rakstzīme, atbilstības pārbaude neizdosies. - [RFC 4517](http://tools.ietf.org/html/rfc4517) un [RFC 4518](http://tools.ietf.org/html/rfc4518) standarti netiek atbalstīti. Piemēram, ja `Issuer` un `Subject` organizācijas (`O`) virknēs ir atstarpes beigās un `Subject` organizatoriskās vienības (`OU`) virknē ir dubultpēdiņas, šīs rakstzīmes ir jāatsoļo: ```ini TLSServerCertIssuer=CN=Signing CA,OU=Development head,O=\ Example SIA\ ,DC=example,DC=com TLSServerCertSubject=CN=Zabbix server,OU=Development group \"5\",O=\ Example SIA\ ,DC=example,DC=com ``` [comment]: # ({/bd9b46b2-5d9c487d}) [comment]: # ({630eea16-f61c7ebf}) ##### Lauku secība un formatējums Zabbix ievēro [RFC 4514](http://tools.ietf.org/html/rfc4514) ieteikumus, kas šiem laukiem nosaka "apgrieztu" secību, sākot ar zemākā līmeņa laukiem (`CN`), turpinot ar vidējā līmeņa laukiem (`OU`, `O`) un noslēdzot ar augstākā līmeņa laukiem (`DC`). ```ini TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com ``` Turpretī OpenSSL pēc noklusējuma attēlo `Issuer` un `Subject` virknes secībā no augstākā līmeņa uz zemāko līmeni. Tālāk redzamajā piemērā `Issuer` un `Subject` lauki sākas ar augstākā līmeņa (`DC`) lauku un beidzas ar zemākā līmeņa (`CN`) lauku. Arī formatējums ar atstarpēm un lauku atdalītājiem atšķiras atkarībā no izmantotajām opcijām, tādēļ tas neatbildīs Zabbix prasītajam formātam. ```bash $ openssl x509 -noout -in /home/zabbix/zabbix_proxy.crt -issuer -subject issuer= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Signing CA subject= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Zabbix proxy $ openssl x509 -noout -text -in /home/zabbix/zabbix_proxy.crt Certificate: ... Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA ... Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix proxy ``` Lai *Issuer* un *Subject* virknes pareizi noformatētu lietošanai Zabbix, izsauciet OpenSSL ar šādām opcijām: ```bash $ openssl x509 -noout -issuer -subject \ -nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname\ -in /home/zabbix/zabbix_proxy.crt ``` Tad izvade būs apgrieztā secībā, ar komatiem atdalīta, un to varēs izmantot Zabbix konfigurācijas failos un lietotāja saskarnē: ```bash issuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com subject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com ``` [comment]: # ({/630eea16-f61c7ebf}) [comment]: # ({cb3afa18-29732466}) #### X.509 v3 sertifikātu paplašinājumu izmantošanas ierobežojumi Ieviešot X.509 v3 sertifikātus Zabbix vidē, daži paplašinājumi var netikt pilnībā atbalstīti vai var izraisīt nekonsekventu darbību. **Subject Alternative Name paplašinājums** Zabbix neatbalsta *Subject Alternative Name* paplašinājumu, ko izmanto alternatīvu DNS nosaukumu, piemēram, IP adrešu vai e-pasta adrešu, norādīšanai. Zabbix var pārbaudīt tikai sertifikāta *Subject* laukā esošo vērtību (skatiet [Atļautā sertifikāta izdevēja un subjekta ierobežošana](#restricting-allowed-certificate-issuer-and-subject)). Ja sertifikāti ietver `subjectAltName` lauku, sertifikāta validācijas rezultāts var atšķirties atkarībā no konkrētajiem kriptogrāfiskajiem rīkkopām, kas izmantotas Zabbix komponentu kompilēšanai. Rezultātā Zabbix var vai nu pieņemt, vai noraidīt sertifikātus atkarībā no šo kombināciju īpatnībām. **Extended Key Usage paplašinājums** Zabbix atbalsta *Extended Key Usage* paplašinājumu. Tomēr, ja tas tiek izmantots, parasti ir nepieciešams norādīt abus atribūtus — *clientAuth* (TLS WWW klienta autentifikācijai) un *serverAuth* (TLS WWW servera autentifikācijai). Piemēram: - Pasīvajās pārbaudēs, kur Zabbix aģents darbojas kā TLS serveris, aģenta sertifikātā jābūt iekļautam atribūtam *serverAuth*. - Aktīvajām pārbaudēm, kur aģents darbojas kā TLS klients, aģenta sertifikātā jābūt iekļautam atribūtam *clientAuth*. Lai gan GnuTLS var izdot brīdinājumu par atslēgas lietojuma pārkāpumiem, tas parasti ļauj saziņai turpināties, neskatoties uz šiem brīdinājumiem. **Name Constraints paplašinājums** *Name Constraints* paplašinājuma atbalsts dažādās kriptogrāfiskajās rīkkopās atšķiras. Pārliecinieties, ka jūsu izvēlētā rīkkopa atbalsta šo paplašinājumu. Šis paplašinājums var ierobežot Zabbix iespēju ielādēt CA sertifikātus, ja šī sadaļa ir atzīmēta kā kritiska, atkarībā no izmantotās rīkkopas. [comment]: # ({/cb3afa18-29732466}) [comment]: # ({1be6201b-35b25767}) #### Sertifikātu atsaukšanas saraksti (CRL) Ja sertifikāts ir kompromitēts, sertifikācijas iestāde (CA) var to atsaukt, iekļaujot sertifikātu sertifikātu atsaukšanas sarakstā (CRL). CRL tiek pārvaldīti, izmantojot konfigurācijas failus, un tos var norādīt ar parametru `TLSCRLFile` servera, starpniekservera un aģenta konfigurācijas failos. Piemēram: ```ini TLSCRLFile=/home/zabbix/zabbix_crl_file.crt ``` Šajā gadījumā `zabbix_crl_file.crt` var saturēt CRL no vairākām CA, un tas var izskatīties šādi: ```ini -----BEGIN X509 CRL----- MIIB/DCB5QIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixkARkWA2Nv ... treZeUPjb7LSmZ3K2hpbZN7SoOZcAoHQ3GWd9npuctg= -----END X509 CRL----- -----BEGIN X509 CRL----- MIIB+TCB4gIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQBGRYDY29t ... CAEebS2CND3ShBedZ8YSil59O6JvaDP61lR5lNs= -----END X509 CRL----- ``` CRL fails tiek ielādēts tikai Zabbix palaišanas laikā. Lai atjauninātu CRL, restartējiet Zabbix. ::: noteimportant Ja Zabbix komponenti ir kompilēti ar OpenSSL un tiek izmantoti CRL, pārliecinieties, ka katrai augstākā līmeņa un starpposma CA sertifikātu ķēdēs ir atbilstošs CRL (pat ja tas ir tukšs), kas iekļauts `TLSCRLFile`. ::: [comment]: # ({/1be6201b-35b25767})