[comment]: # ({72ab9926-72ab9926})
# 13 存储密钥 

[comment]: # ({/72ab9926-72ab9926})

[comment]: # ({efea1097-5a5d507b})
#### 概述

Zabbix 可配置为从安全保管库中检索敏感信息。支持以下密钥管理服务：HashiCorp Vault KV Secrets Engine - Version 2、CyberArk Vault CV12。

密钥可用于获取：

-   [用户宏值](/manual/config/macros/secret_macros#vault-secret)
-   数据库访问凭据

Zabbix 对保管库中的密钥提供只读访问，前提是这些密钥由其他人管理。

[comment]: # ({/efea1097-5a5d507b})

[comment]: # ({0f1ca980-5cd2f0a1})
有关特定保险库提供者配置的信息，请参阅以下链接：

- [HashiCorp 配置](/manual/config/secrets/hashicorp)
- [CyberArk 配置](/manual/config/secrets/cyberark)

[comment]: # ({/0f1ca980-5cd2f0a1})

[comment]: # ({46b1c53a-44c0f649})
#### 密钥值缓存

默认情况下，vault 密钥宏值由 Zabbix 服务器在每次刷新配置数据时获取，然后存储在配置缓存中。Zabbix proxy 在每次配置同步时从 Zabbix 服务器接收 vault 密钥宏值，并将其存储在自己的配置缓存中。 

::: noteimportant
必须在 Zabbix 服务器和 proxy 之间启用加密；否则会记录一条服务器警告消息。
:::

也可以[配置](/manual/web_interface/frontend_sections/administration/general#other)，使宏值由 Zabbix 服务器和 Zabbix proxy 分别独立获取。

要手动触发从 vault 刷新缓存的密钥值，请使用命令行[选项](/manual/concepts/server#runtime-control) 'secrets_reload'。

对于 Zabbix 前端，数据库凭据缓存默认禁用，但可通过在 zabbix.conf.php 中设置选项 ``$DB['VAULT_CACHE'] = true`` 来启用。凭据将使用文件系统临时文件目录存储在本地缓存中。Web 服务器必须允许在私有临时文件夹中写入（例如，对于 Apache，必须设置配置选项 ``PrivateTmp=True``）。要控制数据缓存刷新的频率/失效时间，请使用 ZBX\_DATA\_CACHE\_TTL [常量](/manual/web_interface/definitions) 。

[comment]: # ({/46b1c53a-44c0f649})

[comment]: # ({94f1101e-df569dd2})
#### TLS 配置

要为 Zabbix 组件与保管库之间的通信配置 TLS，请将由证书颁发机构（CA）签名的证书添加到系统范围的默认 CA 存储中。  
如果要使用其他位置，请在 Zabbix [server](/manual/appendix/config/zabbix_server)/[proxy](/manual/appendix/config/zabbix_proxy) 配置参数 SSLCALocation 中指定该目录，  
将证书文件放入该目录中，然后运行 CLI [命令](https://www.openssl.org/docs/manmaster/man1/c_rehash.html)：

    c_rehash .

[comment]: # ({/94f1101e-df569dd2})