[comment]: # translation:outdated

[comment]: # ({72ab9926-72ab9926})
# 13 Opslag van geheimen

[comment]: # ({/72ab9926-72ab9926})

[comment]: # ({4da69583-5a5d507b})
## Overview

Zabbix can be configured to retrieve sensitive information from a secure vault. The following secret management services are supported: HashiCorp Vault KV Secrets Engine - Version 2, CyberArk Vault CV12.

Secrets can be used for retrieving:

-   [user macro values](/manual/config/macros/secret_macros#vault_secret)
-   database access credentials

Zabbix provides read-only access to the secrets in a vault, assuming that secrets are managed by someone else.

[comment]: # ({/4da69583-5a5d507b})

[comment]: # ({0f1ca980-5cd2f0a1})
Voor informatie over de configuratie van specifieke vault-providers, zie:

- [HashiCorp-configuratie](/manual/config/secrets/hashicorp)
- [CyberArk-configuratie](/manual/config/secrets/cyberark)

[comment]: # ({/0f1ca980-5cd2f0a1})

[comment]: # ({27f44bc0-44c0f649})
## Cachen van geheime waarden

Vault-geheimmacro-waarden worden door de Zabbix-server opgehaald bij elke vernieuwing van configuratiegegevens en vervolgens opgeslagen in de configuratiecache. De Zabbix-proxy ontvangt waarden van vault-geheimmacro's van de Zabbix-server bij elke synchronisatie van de configuratie en slaat ze op in zijn eigen configuratiecache.

::: noteimportant
Versleuteling moet ingeschakeld zijn tussen de Zabbix-server en -proxy; anders wordt er een waarschuwingsbericht in het logboek van de server opgeslagen.
:::

Om handmatig het vernieuwen van gecachte geheime waarden uit een vault te activeren, gebruik je de 'secrets_reload' command-line [optie](/manual/concepts/server#runtime_control).

Voor het cachen van Zabbix frontend-databasegegevens zijn de instellingen standaard uitgeschakeld, maar ze kunnen ingeschakeld worden door de optie ``$DB['VAULT_CACHE'] = true`` in zabbix.conf.php in te stellen. De referenties zullen worden opgeslagen in een lokale cache met behulp van de tijdelijke map van het bestandssysteem. De webserver moet schrijven in een privé-tijdelijke map toestaan (bijvoorbeeld voor Apache moet de configuratieoptie ``PrivateTmp=True`` ingesteld zijn). Om te bepalen hoe vaak de datagegevenscache vernieuwd/ongeldig gemaakt wordt, gebruik je de ZBX\_DATA\_CACHE\_TTL [constante](/manual/web_interface/definitions).

[comment]: # ({/27f44bc0-44c0f649})

[comment]: # ({472d0318-df569dd2})
## TLS-configuratie

Om TLS te configureren voor communicatie tussen Zabbix-componenten en de vault, voeg je een door een certificaatautoriteit (CA) ondertekend certificaat toe aan de systeembrede standaard-CA-opslag.
Om een andere locatie te gebruiken, specificeer je de map in de SSLCALocation Zabbix [server](/manual/appendix/config/zabbix_server)/[proxy](/manual/appendix/config/zabbix_proxy) configuratieparameter,
plaats het certificaatbestand binnen die map en voer dan het CLI [commando](https://www.openssl.org/docs/manmaster/man1/c_rehash.html) uit:

    $ c_rehash .

[comment]: # ({/472d0318-df569dd2})