Documentation

Se encuentra viendo la documentación de la versión en desarrollo, puede estar incompleta.
Únase a nuestro proyecto de traducción y ayude a traducir la documentación de Zabbix a su lengua materna.
1 Estructura del manual
2 Qué es Zabbix
3 Características de Zabbix
4 Descripción general de Zabbix
5 What's new in Zabbix 7.2.0
2 Definiciones
1 Clúster de alta disponibilidad
2 Agente
3 Agente 2
4 Proxy
1 Configuración desde fuentes
2 Configuración desde paquetes RHEL
3 Configuración desde paquetes Debian/Ubuntu
6 Remitente
7 Obtener
8 JS
9 Servicio web
1 Obtener Zabbix
1 Dependencias del complemento PostgreSQL
2 Dependencias del complemento MongoDB
1 Compilando el agente Zabbix en Windows
2 Compilando Zabbix agent 2 en Windows
3 Compilando Zabbix agent en macOS
1 Red Hat Enterprise Linux
2 Debian/Ubuntu/Raspbian
3 SUSE Servidor empresarial Linux
4 Instalación del agente Windows desde MSI
5 Instalación del agente de Mac OS desde PKG
6 Versiones inestables
5 Instalación desde contenedores
6 Instalación de la interfaz web
1 Problemas de compilación
1 Actualizar desde las fuentes
1 Red Hat Enterprise Linux
2 Debian/Ubuntu
3 Actualizar desde contenedores
9 Cambios en las plantillas
11 Upgrade notes for 7.2.0
1 Iniciar sesión y configurar usuario
2 Nuevo equipo
3 Nueva métrica
4 Nuevo iniciador
5 Recibir notificaciones de problemas
6 Nueva plantilla
6. Zabbix Appliance
1 Configuración de un equipo
2 Inventario
3 Actualización masiva
1 Formato de clave de elemento
2 Intervalos personalizados
1 Preprocessing testing
2 Detalles de preprocesamiento
3 Ejemplos de preprocesamiento
1 Escapar caracteres especiales de valores de macro LLD en JSONPath
1 Objetos JavaScript adicionales
2 Browser item JavaScript objects
5 Preprocesamiento de CSV a JSON
1 Agente Zabbix 2
2 Agente de Windows Zabbix
1 Índices dinámicos
2 OID especiales
3 Archivos MIB
3 Capturador SNMP
4 Comprobaciones de IPMI
1 Claves de métricas de monitoreo de VMware
6 Monitoreo de archivos de registro
1 Cálculos agregados
8 Comprobaciones internas
9 Comprobaciones SSH
10 Comprobaciones de Telnet
11 Comprobaciones externas
12 Métricas de captura
13 Monitoreando JMX
14 Monitorizando ODBC
15 Métricas dependientes
16 Agente HTTP
17 Revisiones Prometheus
18 Métricas scripts
19 Browser items
4 Historial y tendencias
1 Ampliación de agentes de Zabbix
6 Contadores de rendimiento de Windows
7 Actualización masiva
8 Mapeo de valores
9 Cola
10 Caché de valores
11 Ejecutar ahora
12 Restringir comprobaciones del agente
1 Configurando un iniciador
2 Expresión de iniciador
3 Dependencias del iniciador
4 Gravedad del iniciador
5 Personalización de la gravedad de los disparadores
6 Actualización masiva
7 Funciones predictivas de iniciador
1 Generación de eventos de iniciador
2 Otras fuentes de eventos
3 Cierre manual de problemas
1 Correlación de eventos basada en iniciadores
2 Correlación de eventos globales
6 Etiquetado
1 Gráficos simples
2 Gráficos personalizados
3 Gráficos ad-hoc
4 Agregación en gráficos
1 Configurando un mapa de red
2 Elementos de grupo de equipos
3 Indicadores de enlace
3 Tableros
1 Configurando una plantilla
2 Vincular/desvincular
3 Anidamiento
4 Actualización masiva
1 Funcionamiento de plantillas de agente Zabbix
2 Funcionamiento de plantillas del Agente 2 Zabbix
3 Funcionamiento de plantillas HTTP
4 Funcionamiento de plantillas IPMI
5 Funcionamiento de plantillas JMX
6 Funcionamiento de plantillas ODBC
7 Plantillas estandarizadas para dispositivos de red
8 VMware template operation
1 Correo electrónico
2 SMS
3 Scripts de alerta personalizados
1 Ejemplos de script de webhook
1 Condiciones
1 Enviando mensaje
2 Comandos remotos
3 Operaciones adicionales
4 Usando macros en los mensajes
3 Operaciones de recuperación
4 Operaciones de actualización
5 Escalado
3 Recibiendo notificaciones sobre métricas no soportadas
1 Funciones de macro
2 Macros de usuario
3 Macros de usuario con contexto
4 Macros de usuario secretas
5 Macros de descubrimiento de bajo nivel
6 Macros de expresión
1 Configurar un usuario
2 Permisos
3 Grupos de usuarios
1 Configuración de CyberArk
2 Configuración de HashiCorp
14 Informes programados
1 Exportar a archivos
2 Transmisión a sistemas externos
3 SNMP gateway
1 Árbol de servicios
2 Acuerdo de Nivel de Servicio
3 Ejemplo de configuración
1 Métricas de monitoreo web
2 Escenario de la vida real
1 Claves de métricas de monitoreo de VMware
2 Campos clave para el descubrimiento de máquinas virtuales
3 Ejemplos JSON para métricas de VMware
4 Ejemplo de configuración de monitoreo de VMware
11 Mantenimiento
12 Expresiones regulares
1 Supresión de problemas
1 Grupos de plantillas
2 Grupos de equipos
3 Plantillas
4 Equipos
5 Mapas de red
6 Tipos de medios
1 Configurar una regla de descubrimiento de red
2 Autorregistro de agente activo
1 Prototipos de métricas
2 Prototipos de iniciador
3 Prototipos de gráficos
4 Prototipos de equipos
5 Notas sobre el descubrimiento de bajo nivel
1 Descubrimiento de sistemas de archivos montados
2 Descubrimiento de interfaces de red
3 Descubrimiento de CPU y núcleos de CPU
4 Descubrimiento de OID SNMP
5 Descubrimiento de OID SNMP (obsoleto)
6 Descubrimiento de objetos JMX
7 Descubrimiento de sensores IPMI
8 Descubrimiento de los servicios systemd
9 Descubrimiento de los servicios de Windows
10 Descubrimiento de instancias de contadores de rendimiento de Windows
11 Descubrimiento mediante consultas WMI
12 Descubrimiento mediante consultas SQL ODBC
13 Descubrimiento utilizando datos de Prometheus
14 Descubrimiento de dispositivos de bloque
15 Descubrimiento de interfaces de equipos en Zabbix
7 Reglas de descubrimiento personalizadas
1 Sincronización de la configuración de monitoreo
2 Proxy load balancing
1 Usando certificados
2 Usando claves precompartidas
1 Problemas de tipo de conexión o permisos
2 Problemas con el certificado
3 Problemas de PSK
1 Menú de eventos
2 Menú de equipo
3 Menú de métricas
1 Registro de acciones
2 Reloj
3 Vista general de datos
4 Estado del descubrimiento
5 Gráficos favoritos
6 Mapas favoritos
7 Geomapa
8 Gráfico
9 Gráfico (clásico)
10 Prototipo de gráfico
11 Disponibilidad del equipo
12 Honeycomb
12 Valor de métrica
13 Mapa
14 Host navigator
14 Árbol de navegación del mapa
15 Item history
15 Item navigator
16 Equipos con problemas
16 Pie chart
17 Problemas
18 Problemas por gravedad
19 Informe SLA
20 Información del sistema
21 Equipos Top
22 Vista general de iniciadores
23 Top triggers
23 URL
24 Monitoreo web
25 Gauge
1 Problemas de causa y síntomas
1 Gráficos
2 Escenarios web
2 Host dashboards
3 Últimos datos
4 Mapas
5 Descubrimiento
1 Servicios
2 Acuerdo de Nivel de Servicio
3 informe SLA
1 Información general
2 Equipos
1 Información del sistema
2 Informes programados
3 Informe de disponibilidad
4 Los 100 iniciadores principales
5 Registro de auditoría
6 Registro de acciones
7 Notificaciones
1 Grupos de plantillas
2 Grupos de equipos
1 Métricas
2 Iniciadores
3 Gráficos
1 Prototipos de métricas
2 Prototipos de iniciador
3 Prototipos de gráficos
4 Prototipos de equipo
5 Escenarios web
1 Métricas
2 Iniciadores
3 Gráficos
1 Prototipos de métricas
2 Prototipos de iniciador
3 Prototipos de gráficos
4 Prototipos de equipo
5 Escenarios web
5 Mantenimiento
6 Correlación de eventos
7 Descubrimiento
1 Acciones
2 Tipos de medios
3 Scripts
1 Grupos de usuarios
2 Roles de usuario
3 Usuarios
4 Tokens API
1 HTTP
2 LDAP
3 SAML
4 MFA
1 General
2 Registro de auditoría
3 Limpieza interna
4 Proxies
4 Proxy groups
5 Macros
6 Cola
1 Notificaciones globales
2 Sonido en navegadores
4 Búsqueda global
5 Modo de mantenimiento frontend
6 Parámetros de la página
7 Definiciones
8 Creando tu propio tema
9 Modo de depuración
10 Cookies utilizadas por Zabbix
11 Zonas horarias
12 Restablecer contraseña
13 Selector del periodo de tiempo
Objeto de acción
action.create
action.delete
action.get
action.update
> Objeto de configuración
settings.get
settings.update
Objeto Alerta
alert.get
Objeto de autenticación
authentication.get
authentication.update
Objeto de autorregistro
autoregistration.get
autoregistration.update
Objeto de comprobación de descubrimiento
dcheck.get
Objeto conector
connector.create
connector.delete
connector.get
connector.update
configuration.export
configuration.import
configuration.importcompare
Objeto de correlación
correlation.create
correlation.delete
correlation.get
correlation.update
Objeto de directorio de usuario
userdirectory.create
userdirectory.delete
userdirectory.get
userdirectory.test
userdirectory.update
Objeto de equipo
host.create
host.eliminar
host.get
host.massadd
host.massremove
host.massupdate
host.update
Objeto de equipo descubierto
dhost.get
Objeto de escenario web
httptest.create
httptest.delete
httptest.get
httptest.update
Objeto de evento
event.acknowledge
event.get
> Objeto de expresión regular
regexp.create
regexp.delete
regexp.get
regexp.update
Objeto de grupo de equipos
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.propagate
hostgroup.update
> Objeto de grupo de plantilla
templategroup.create
templategroup.delete
templategroup.get
templategroup.massadd
templategroup.massremove
templategroup.massupdate
templategroup.propagate
templategroup.update
Objeto de grupo proxy
proxygroup.create
proxygroup.delete
proxygroup.get
proxygroup.update
Objeto de grupo de usuarios
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
Objeto de gráfico
graph.create
graph.delete
graph.get
graph.update
Objeto de historial
history.clear
history.get
history.push
Objeto de imagen
image.create
image.delete
image.get
image.update
apiinfo.version
> Objeto de informe
report.create
report.delete
report.get
report.update
Objeto iniciador
trigger.create
trigger.delete
trigger.get
trigger.update
Objeto de interfaz de equipo
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
Objeto de limpieza
housekeeping.get
housekeeping.update
> Objeto de macro de usuario
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
Objeto de mantenimiento
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
Objeto de mapa
map.create
map.delete
map.get
map.update
Objeto de mapa de iconos
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
> Objeto de mapa de valor
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
MFA object
mfa.create
mfa.delete
mfa.get
mfa.update
Objeto de métrica
item.create
item.delete
item.get
item.update
Objeto de gráfico de métrica
graphitem.get
> Objeto de módulo
module.create
module.delete
module.get
module.update
Objeto de nodo de alta disponibilidad
hanode.get
> Objeto de plantilla
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
Objeto de plantilla de tablero
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
> Objeto de problema
problem.get
Objeto prototipo de equipo
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
Objeto prototipo de gráfico
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
> Objeto de prototipo de iniciador
triggerprototype.create
triggerprototype.delete
triggerprototype.get
triggerprototype.update
Objeto prototipo de métrica
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
Objeto proxy
proxy.create
proxy.delete
proxy.get
proxy.update
Objeto de registro de auditoría
auditlog.get
Objeto de regla de descubrimiento
drule.create
drule.delete
drule.get
drule.update
Objeto de regla LLD
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
> Objeto de rol
role.create
role.delete
role.get
role.update
> Objeto de script
script.create
script.delete
script.execute
script.get
script.getscriptsbyevents
script.getscriptsbyhosts
script.update
> Objeto de servicio
service.create
service.delete
service.get
service.update
Objeto de servicio descubierto
dservice.get
Objeto SLA
sla.create
sla.delete
sla.get
sla.getsli
sla.update
Objeto de tablero
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
1 Registro de acciones
2 Reloj
3 Resumen de datos
4 Estado de descubrimiento
5 Gráficos favoritos
6 Mapas favoritos
7 Medidor radial
8 Geomapa
9 Gráfico
10 Gráfico (clásico)
11 Prototipo de gráfico
12 Panal
13 Disponibilidad del equipo
14 Navegador de equipos
15 Historial de métrica
16 Navegador de métricas
17 Valor de métrica
18 Mapa
19 Árbol de navegación del mapa
20 Gráfico circular
21 Equipos con problemas
22 Problemas
23 Problemas por gravedad
24 Informe SLA
25 Información del sistema
26 Equipos principales
27 Iniciadores principales
28 Vista general de iniciadores
29 URL
30 Monitoreo web
> Objeto de tarea
task.create
task.get
Objeto de tendencia
trend.get
Objeto de tipo de medio
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
> Objeto token
token.create
token.delete
token.generate
token.get
token.update
> Objeto de usuario
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.provision
user.resettotp
user.unblock
user.update
Apéndice 1. Comentario de referencia
Apéndice 2. Cambios de 6.4 a 7.0
1 Securing MySQL/MariaDB
2 Securing PostgreSQL/TimescaleDB
2 Cryptography
3 Web server
2 Configuration best practices
1 Módulos cargables
1 Creación de complementos cargables
3 Módulos de la interfaz
1 Creación de la base de datos
2 Reparar el juego de caracteres y collation de la base de datos Zabbix
3 Actualización de la base de datos a claves primarias
1 Configuración de cifrado MySQL
2 Configuración de cifrado PostgreSQL
4 Preparing auditlog table for partitioning
5 Configuración de TimescaleDB
6 Configuración de Elasticsearch
7 Notas específicas de la distribución sobre la configuración de Nginx para Zabbix
8 Ejecutar agente como root
9 Agente Zabbix en Microsoft Windows
11 Configuración de SAML con Microsoft Azure AD
11 Configuración de SAML con Okta
12 SAML setup with OneLogin
14 Configurar informes programados
16 Idiomas de interfaz adicionales
1 Servidor Zabbix
2 Proxy de Zabbix
3 Agente Zabbix (UNIX)
4 Zabbix agente 2 (UNIX)
2 Complemento Docker
3 Complemento Ember+
4 Complemento Memcached
5 Complemento Modbus
6 Complemento MongoDB
7 Complemento MQTT
8 Complemento MSSQL
9 Complemento MySQL
10 Complemento de Oracle
11 Complemento PostgreSQL
12 Complemento Redis
13 Complemento Smart
Resumen
5 Agente Zabbix (Windows)
6 Agente Zabbix 2 (Windows)
8 Pasarela Zabbix Java
9 Servicio web Zabbix
10 Inclusión
1 Protocolo de intercambio de datos servidor-proxy
2 Protocolo del agente Zabbix
4 Protocolo del plugin Zabbix Agent 2
5 Protocolo de remitente Zabbix
6 Encabezado
7 Protocolo de exportación JSON delimitado por 'salto de linea'
1 Parámetros vm.memory.size
2 Comprobaciones pasivas y activas del agente
4 Nivel mínimo de permiso para métricas del agente de Windows
5 Codificación de valores devueltos
6 Compatibilidad con archivos grandes
7 Sensor
8 Notas sobre el parámetro memtype en las métricas proc.mem
9 Notas sobre la selección de procesos en los elementos proc.mem y proc.num
10 Detalles de implementación de las comprobaciones de net.tcp.service y net.udp.service
11 Parámetros proc.get
12 Configuración de interfaz de equipo inalcanzable/no disponible
13 Configurando Kerberos con Zabbix
13 Monitoreo remoto de las estadísticas de Zabbix
14 Parámetros modbus.get
16 Creación de nombres de contadores de rendimiento personalizados para VMware
16 Return values for system.sw.packages.get
17 Return values for net.dns.get
1 Funciones Foreach
2 Funciones bit a bit
3 Funciones de fecha y hora
4 Funciones de historial
5 Funciones de tendencia
6 Funciones matemáticas
7 Funciones de operador
8 Funciones de predicción
9 Funciones de cadena
1 Macros soportadas
2 Macros de usuario soportados por localización
8 Símbolos de unidad
9 Sintaxis de período de tiempo
10 Ejecución de comandos
11 Compatibilidad de versiones
12 Manejo de errores de la base de datos
13 Biblioteca de enlaces dinámicos del remitente Zabbix para Windows
14 Biblioteca Python para API Zabbix
15 Actualización del monitoreo de servicios
16 Otros temas
17 Comparación entre agente y agente 2
18 Ejemplos de escape
1 Monitorear Linux con el agente Zabbix
2 Monitorear Windows con el agente Zabbix
3 Monitorear Apache a través de HTTP
4 Monitorear MySQL con el agente 2 Zabbix
5 Monitorear VMware con Zabbix
6 Monitorear tráfico de red con Zabbix
7 Monitor network traffic using active checks
8 Monitor websites with Browser items
manifest.json
Acciones
Vistas
Activos
Registrar un nuevo módulo
Configuración
Presentación
Crear un módulo (tutorial)
Crear un widget (tutorial)
Ejemplos
Ejemplos
Crear un complemento (tutorial)
Interfaces de complementos
Cambios en el desarrollo de extensiones
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

1 Usando certificados

Descripción general

Zabbix puede utilizar certificados RSA en formato PEM, firmados por una autoridad pública o autoridad de certificación (CA) interna. Se realiza la verificación del certificado. contra un certificado de CA preconfigurado. Opcionalmente, se pueden utilizar listas de revocación (CRL). Cada componente de Zabbix solo puede tener un certificado configurado.

Para obtener más información sobre cómo configurar y operar la autoridad de certificación interna, cómo generar solicitudes de certificados y firmarlas, cómo revocar certificados, puede encontrar numerosos manuales en línea, por ejemplo, Tutorial de OpenSSL PKI v1.1 .

Considere y pruebe cuidadosamente las extensiones de su certificado; consulte las limitaciones en el uso de extensiones de certificado X.509 v3.

Parámetros de configuración del certificado

Parámetro Obligatorio Descripción
TLSCAFile Nombre de ruta completo de un archivo que contiene los certificados de CA de nivel superior para la verificación de certificados de pares.
En caso de una cadena de certificados con varios miembros, se deben ordenar: los certificados de CA de nivel inferior primero seguidos de certificados de CA(s) de nivel superior.
Los certificados de varias CA(s) se pueden incluir en un solo archivo.
TLSCRLFile no Nombre de ruta completo de un archivo que contiene listas de revocación de certificados. Consulte las notas en Listas de revocación de certificados (CRL).
TLSCertFile yes Ruta completa de un archivo que contiene el certificado (cadena de certificados).
En caso de una cadena de certificados con varios miembros, se deben ordenar: primero el certificado de servidor, proxy o agente, seguido de los certificados de CA de nivel inferior. luego, certificados de CA(s) de nivel superior.
TLSKeyFile yes Nombre de ruta completo de un archivo que contiene la clave privada. Establezca derechos de acceso a este archivo; solo debe ser legible por el usuario de Zabbix.
TLSServerCertIssuer no Emisor de certificado de servidor permitido.
TLSServerCertSubject no Asunto del certificado de servidor permitido.

Configuration examples

After setting up the necessary certificates, configure Zabbix components to use certificate-based encryption.

Below are detailed steps for configuring:

Configuración del certificado en el servidor Zabbix

1. Para verificar los certificados de pares, el servidor Zabbix debe tener acceso para presentar con sus certificados de CA raíz autofirmados de nivel superior. Por ejemplo, si esperamos certificados de dos CA raíz independientes, podemos colocar sus certificados en el archivo /home/zabbix/zabbix_ca_file como este:

Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Grupo de desarrollo, CN=Root1 CA
                   ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Grupo de desarrollo, CN=Root1 CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bits)
                   ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE
                   ...
       -----BEGIN CERTIFICATE-----
       MIID2jCCAsKgAwIBAgIBATANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB
       ....
       9wEzdN8uTrqoyU78gi12npLj08LegRKjb5hFTVmO
       -----END CERTIFICATE-----
       Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Grupo de desarrollo, CN=Root2 CA
                   ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Grupo de desarrollo, CN=Root2 CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ....
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA: TRUE
                   ....
       -----BEGIN CERTIFICATE-----
       MIID3DCCAsSgAwIBAgIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQB
       ...
       vdGNYoSfvu41GQAR5Vj5FnRJRzv5XQOZ3B6894GY1zY=
       -----END CERTIFICATE-----

2. Coloque la cadena de certificados del servidor Zabbix en un archivo, por ejemplo, /home/zabbix/zabbix_server.crt:

Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Grupo de desarrollo, CN=CA firmante
               ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Grupo de desarrollo, CN=servidor Zabbix
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                       ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Digital Signature, Key Encipherment
                   X509v3 Basic Constraints: 
                       CA:FALSE
                   ...
       -----BEGIN CERTIFICATE-----
       MIIECDCCavCgAwIBAgIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixk
       ...
       h02u1GHiy46GI+xfR3LsPwFKlkTaaLaL/6aaoQ==
       -----END CERTIFICATE-----
       Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 2 (0x2)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Grupo de desarrollo, CN=Root1 CA
               ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Grupo de desarrollo, CN=CA firmante
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE, pathlen:0
               ...
       -----BEGIN CERTIFICATE-----
       MIID4TCCAsmgAwIBAgIBAjANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB
       ...
       dyCeWnvL7u5sd6ffo8iRny0QzbHKmQt/wUtcVIvWXdMIFJM0Hw==
       -----END CERTIFICATE-----

Aquí el primero es el certificado del servidor Zabbix, seguido del certificadode CA intermedia.

Se desaconseja el uso de cualquier atributo excepto los mencionados anteriormente para los certificados de cliente y de servidor, ya que puede afectar el proceso de verificación del certificado. Por ejemplo, es posible que OpenSSL no pueda establecer una conexión cifrada si se configuran X509v3 Extended Key Usage o Netscape Cert Type. Consulte también: Limitaciones en el uso de extensiones de certificado X.509 v3.

3. Coloque la clave privada del servidor Zabbix en un archivo, por ejemplo, /home/zabbix/zabbix_server.key:

-----BEGIN PRIVATE KEY-----
       MIIEwAIBADANBgkqhkiG9w0BAQEFAASCBKowggSmAgEAAoIBAQC9tIXIJoVnNXDl
       ...
       IJLkhbybBYEf47MLhffWa7XvZTY=
       -----END PRIVATE KEY-----

4. Edite los parámetros TLS en el archivo de configuración del servidor Zabbix de esta manera:

TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSCertFile=/home/zabbix/zabbix_server.crt
       TLSKeyFile=/home/zabbix/zabbix_server.key

Configuración de cifrado basado en certificados para el proxy Zabbix

1. Prepare archivos con certificados de CA de nivel superior, certificado de proxy (cadena) y clave privada como se describe en Configuración del certificado en el servidor zabbix. Edite los parámetros TLSCAFile, TLSCertFile, TLSKeyFile en consecuencia en la configuración del proxy.

2. Para proxy activo, edite el parámetro TLSConnect:

TLSConnect=cert

Para proxy pasivo, edite el parámetro TLSAccept:

TLSAccept=cert

3. Ahora tiene una configuración mínima de proxy basada en certificados. Es posible que prefiera mejorar la seguridad del proxy configurando los parámetros TLSServerCertIssuer y TLSServerCertSubject (consulte Restricción de permisos permitidos Emisor del certificado y Asunto).

4. En el archivo de configuración de proxy final, los parámetros TLS pueden verse así:

TLSConnect=cert
       TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSServerCertIssuer=CN=CA firmante,OU=Grupo de desarrollo,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=servidor Zabbix,OU=grupo de desarrollo,O=Zabbix SIA,DC=zabbix,DC=com
       TLSCertFile=/home/zabbix/zabbix_proxy.crt
       TLSKeyFile=/home/zabbix/zabbix_proxy.key

5. Configure el cifrado para este proxy en la interfaz de Zabbix:

  • Ir a: Administración → Proxies
  • Seleccione el proxy y haga clic en la pestaña Cifrado

En los ejemplos siguientes, los campos Emisor y Asunto están completos; consulte por qué Restringir el emisor de certificados permitidos y Asunto y cómo utilizar estos campos.

Para proxy activo

proxy_active_cert.png

Para proxy pasivo

proxy_passive_cert.png

Configuración de cifrado basado en certificados para el agente Zabbix

1. Prepare archivos con certificados de CA de nivel superior, certificado de agente (cadena) y clave privada como se describe en la Configuración del certificado en el servidor zabbix. Edite los parámetros TLSCAFile, TLSCertFile, TLSKeyFile en consecuencia en la configuración del agente.

2. Para verificaciones activas, edite el parámetro TLSConnect:

TLSConnect=cert

Para comprobaciones pasivas, edite el parámetro TLSAccept:

TLSAccept=cert

3. Ahora tiene una configuración mínima de agente basada en certificados. Es posible que prefiera mejorar la seguridad del agente configurando los parámetros TLSServerCertIssuer y TLSServerCertSubject. (ver Restringir Emisor del certificado y Asunto permitidos).

4. En el archivo de configuración final del agente, los parámetros TLS pueden verse así:

TLSConnect=cert
       TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSServerCertIssuer=CN=CA firmante,OU=Grupo de desarrollo,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Proxy Zabbix,OU=Grupo de desarrollo,O=Zabbix SIA,DC=zabbix,DC=com
       TLSCertFile=/home/zabbix/zabbix_agentd.crt
       TLSKeyFile=/home/zabbix/zabbix_agentd.key

(El ejemplo supone que el equipo se monitorea a través de un proxy, por eso, el uso de Asunto del certificado del proxy.)

5. Configure el cifrado para este agente en la interfaz de Zabbix:

  • Ir a: Recopilación de datos → Equipos
  • Seleccione el equipo y haga clic en la pestaña Cifrado

En el siguiente ejemplo, los campos Emisor y Asunto están completos; consulte por qué Restringir el emisor de certificados y Asunto permitidos y cómo utilizar estos campos.

agent_config.png

Zabbix web service

1. Prepare files with the top-level CA certificates, the Zabbix web service certificate/certificate chain, and the private key as described in the Zabbix server section. Then, edit the TLSCAFile, TLSCertFile, and TLSKeyFile parameters in the Zabbix web service configuration file accordingly.

2. Edit an additional TLS parameter in the Zabbix web service configuration file: TLSAccept=cert

TLS parameters in the final web service configuration file may look as follows:

TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSCertFile=/home/zabbix/zabbix_web_service.crt
       TLSKeyFile=/home/zabbix/zabbix_web_service.key

3. Configure Zabbix server to connect to the TLS-configured Zabbix web service by editing the WebServiceURL parameter in the Zabbix server configuration file:

WebServiceURL=https://example.com

Restringir el emisor y el asunto del certificado permitidos

Cuando dos componentes de Zabbix (por ejemplo, servidor y agente) establecen un TLS conexión, ambos verifican los certificados de cada uno. si el certificado de la contraparte está firmado por una CA confiable (con certificado de nivel superior preconfigurado en TLSCAFile), es válido, no ha caducado y pasa algunas otras comprobaciones, entonces la comunicación puede continuar. El emisor del certificado y el asunto no se verifica en este caso más simple.

Aquí existe un riesgo: cualquiera con un certificado válido puede hacerse pasar por cualquier otra persona (por ejemplo, se puede utilizar un certificado de equipo para hacerse pasar por un servidor). Esto puede ser aceptable en entornos pequeños donde los certificados están firmados por una CA interna dedicada y el riesgo de suplantación de identidad es bajo.

Si su CA de nivel superior se utiliza para emitir otros certificados que deberían no ser aceptados por Zabbix o desea reducir el riesgo de suplantación de identidad, puede restringir los certificados permitidos especificando las cadenas de su emisor y de asunto.

Por ejemplo, puede escribir en el archivo de configuración del proxy Zabbix:

TLSServerCertIssuer=CN=CA firmante,OU=Grupo de desarrollo,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=servidor Zabbix,OU=grupo de desarrollo,O=Zabbix SIA,DC=zabbix,DC=com

Con esta configuración, un proxy activo no se comunicará con el servidor Zabbix con una cadena de Emisor o Asunto diferente en el certificado, un proxy pasivo no aceptará solicitudes de dicho servidor.

Algunas notas sobre la coincidencia de cadenas de Emisor o Asunto:

  1. Las cadenas de emisor y asunto se verifican de forma independiente. Ambas son opcionales.
  2. Se permiten caracteres UTF-8.
  3. Cadena no especificada significa que se acepta cualquier cadena.
  4. Las cadenas se comparan "tal cual", deben ser exactamente iguales para coincidir.
  5. Los comodines y las expresiones regulares no se admiten en la coincidencia.
  6. Solo algunos requisitos de RFC 4514 Acceso ligero a directorios Protocolo (LDAP): representación de cadena de distinguido Se implementan los nombres:
    1. caracteres de escape '"' (U+0022), '+' U+002B, ',' U+002C, ';' U+003B, '<' U+003C, '>' U+003E, '\' U+005C en cualquier lugar de cadena.
    2. caracteres de escape, espacio (' ' U+0020) o signo numérico ('#' U+0023) al principio de la cadena.
    3. espacio de carácter de escape (' ' U+0020) al final de la cadena.
  7. La coincidencia falla si se encuentra un carácter nulo (U+0000) (RFC 4514 lo permite).
  8. Requisitos del Protocolo ligero de acceso a directorios RFC 4517 (LDAP): sintaxis y coincidencia Reglas y RFC 4518 Peso ligero Protocolo de acceso a directorios (LDAP): cadena internacionalizada Preparación no son compatibles debido a la cantidad de trabajo requerido.

El orden de los campos en las cadenas de Emisor y Asunto y el formato son ¡importantes! Zabbix sigue RFC 4514 recomendación y utiliza el orden "inverso" de los campos.

El orden inverso se puede ilustrar con un ejemplo:

TLSServerCertIssuer=CN=CA firmante,OU=Grupo de desarrollo,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Proxy Zabbix,OU=Grupo de desarrollo,O=Zabbix SIA,DC=zabbix,DC=com

Tenga en cuenta que comienza con el nivel bajo (CN), continúa hasta el nivel medio (OU, O) y termina con campos de nivel superior (DC).

OpenSSL muestra de forma predeterminada los campos Emisor y Asunto del certificado en orden "normal", dependiendo de las opciones adicionales utilizadas:

$ openssl x509 -noout -in /home/zabbix/zabbix_proxy.crt -issuer -subject
       issuer= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Grupo de desarrollo/CN=CA firmante
       subject= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Grupo de desarrollo/CN=Proxy Zabbix
       
       $ openssl x509 -noout -text -in /home/zabbix/zabbix_proxy.crt
       Certificate:
               ...
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Grupo de desarrollo, CN=CA firmante
           ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Grupo de desarrollo, CN=Proxy Zabbix

Aquí las cadenas de Emisor y Asunto comienzan con el nivel superior (DC) y terminan con el campo de bajo nivel (CN), los espacios y los separadores de campo dependen de las opciones. usadas. Ninguno de estos valores coincidirá con los campos Zabbix Emisor y Asunto

Para poder utilizar las cadenas de Emisor y Asunto adecuadas en Zabbix invoca OpenSSL con opciones especiales
(-nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname):

$ openssl x509 -noout -issuer -subject \
               -nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname \
               -in /home/zabbix/zabbix_proxy.crt
       issuer = CN = CA firmante, OU = grupo de desarrollo, O = Zabbix SIA, DC = zabbix, DC = com
       subject= CN=Proxy Zabbix,OU=Grupo de desarrollo,O=Zabbix SIA,DC=zabbix,DC=com

Ahora los campos de cadena están en orden inverso, los campos están separados por comas, pueden ser utilizados en archivos de configuración y frontend de Zabbix.

Rules for matching Issuer and Subject strings

The rules for matching Issuer and Subject strings are as follows:

  • Issuer and Subject strings are checked independently. Both are optional.
  • An unspecified string means that any string is accepted.
  • Strings are compared as is and must match exactly.
  • UTF-8 characters are supported. However, wildcards (*) or regular expressions are not supported.
  • The following RFC 4514 requirements are implemented - characters that require escaping (with a '\' backslash, U+005C):
    • anywhere in the string: '"' (U+0022), '+' (U+002B), ',' (U+002C), ';' (U+003B), '<' (U+003C), '>' (U+003E), '\\' (U+005C);
    • at the beginning of the string: space (' ', U+0020) or number sign ('#', U+0023);
    • at the end of the string: space (' ', U+0020).
  • Null characters (U+0000) are not supported. If a null character is encountered, the matching will fail.
  • RFC 4517 and RFC 4518 standards are not supported.

For example, if Issuer and Subject organization (O) strings contain trailing spaces and the Subject organizational unit (OU) string contains double quotes, these characters must be escaped:

TLSServerCertIssuer=CN=Signing CA,OU=Development head,O=\ Example SIA\ ,DC=example,DC=com
       TLSServerCertSubject=CN=Zabbix server,OU=Development group \"5\",O=\ Example SIA\ ,DC=example,DC=com
Field order and formatting

Zabbix follows the recommendations of RFC 4514, which specifies a "reverse" order for these fields, starting with the lowest-level fields (CN), proceeding to the mid-level fields (OU, O), and concluding with the highest-level fields (DC).

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

In contrast, OpenSSL by default displays the Issuer and Subject strings in top-level to low-level order. In the following example, Issuer and Subject fields start with the top-level (DC) and end with the low-level (CN) field. The formatting with spaces and field separators also varies based on the options used, and thus will not match the format required by Zabbix.

$ openssl x509 -noout -in /home/zabbix/zabbix_proxy.crt -issuer -subject
       issuer= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Signing CA
       subject= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Zabbix proxy
       
       $ openssl x509 -noout -text -in /home/zabbix/zabbix_proxy.crt
       Certificate:
           ...
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
               ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix proxy

To format Issuer and Subject strings correctly for Zabbix, invoke OpenSSL with the following options:

$ openssl x509 -noout -issuer -subject \
           -nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname\
           -in /home/zabbix/zabbix_proxy.crt

The output will then be in reverse order, comma-separated, and usable in Zabbix configuration files and frontend:

issuer= CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       subject= CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

Limitaciones en el uso de extensiones de certificado X.509 v3

  • Extensión del nombre alternativo del sujeto (subjectAltName).
    Nombres de asunto alternativos de la extensión subjectAltName (como dirección IP, dirección de correo electrónico) no son compatibles con Zabbix. único valor del campo "Asunto" se puede marcar en Zabbix (consulte Restricción permitida Emisor del certificado y Asunto).
    Si el certificado usa la extensión subjectAltName entonces el resultado depende de una combinación particular de kits de herramientas criptográficas Zabbix se compilan los componentes (puede que funcione o no, Zabbix puede negarse a aceptar dichos certificados de sus pares).
  • Extensión Uso extendido de clave.
    Si se usa, generalmente ambos clientAuth (cliente TLS WWW autenticación) y serverAuth (autenticación del servidor TLS WWW) son necesario.
    Por ejemplo, en comprobaciones pasivas, el agente Zabbix actúa en un servidor TLS. rol, por lo que serverAuth debe configurarse en el certificado del agente. Para activo comprueba que el certificado del agente necesita clientAuth para estar configurado.
    GnuTLS emite una advertencia en caso de infracción de uso de clave pero permite comunicación para proceder.
  • Extensión Restricciones de nombre.
    No todos los kits de herramientas criptográficas lo admiten. Esta extensión puede impedir Zabbix cargue certificados de CA donde esta sección está marcada como crítico (depende del conjunto de herramientas criptográficas en particular).

Listas de revocación de certificados (CRL)

Si un certificado está comprometido, la CA puede revocarlo incluyéndolo en la CRL. Las CRL se pueden configurar en el archivo de configuración del servidor, proxy y agente. usando el parámetro TLSCRLFile. Por ejemplo:

TLSCRLFile=/home/zabbix/zabbix_crl_file

donde zabbix_crl_file puede contener CRL de varias CA y verse así:

-----BEGIN X509 CRL-----
       MIIB/DCB5QIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixkARkWA2Nv
       ...
       treZeUPjb7LSmZ3K2hpbZN7SoOZcAoHQ3GWd9npuctg=

-----END X509 CRL----- -----BEGIN X509 CRL----- MIIB+TCB4gIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQBGRYDY29t ... CAEebS2CND3ShBedZ8YSil59O6JvaDP61lR5lNs= -----END X509 CRL-----

El archivo CRL se carga solo al iniciar Zabbix. La actualización de CRL requiere reiniciar.

Si el componente Zabbix está compilado con OpenSSL y se utilizan CRL, cada CA de nivel superior e intermedio en las cadenas del certificado deben tener una CRL correspondiente (puede estar vacía) en TLSCRLFile.

© 2001-2024 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy