Habilite a assinatura segura OpenSSL para plug-ins

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 1 min. de leitura

    • Crie um certificado autoassinado para um Agent Client Collector plug-in. O procedimento a seguir fornece um exemplo de como criar um certificado x509 usando OpenSSL. Para outros tipos de certificado, consulte a documentação do OpenSSL.

    Antes de Iniciar

    • Certifique-se de que verify-plugin-signaturea propriedade está definida como Verdadeiro no agente acc.yml arquivo para verificar a assinatura do plug-in.
    • Certifique-se de OpenSSL está instalado no seu sistema.
    Função necessária: agent_client_collector_admin

    Por Que e Quando Desempenhar Esta Tarefa

    Habilitar um mecanismo de assinatura segura OpenSSL para plug-ins funciona com um Agent Client Collector instalado em um Linux sistema.

    Procedimento

    1. Crie um arquivo de plug-in com um tar.gz extensão.
      Para obter mais informações, consulte Criar e editar Agent Client Collector plug-ins.
    2. Gere seu próprio autocertificação seguro para o arquivo de plug-in.
      1. Crie um certificado x509. 
        openssl req -nodes -x509 -sha256 -newkey rsa:2048 -keyout "sign.key" -out "sign.crt" -days 365 -subj
        "/C=<CountryName>/ST=<StateOrProvinceName>/L=<Locality>/O=<Organization>/OU=<OrganizationalUnit>/CN=sign"
      2. Assine o arquivo do plug-in. 
        openssl dgst -sha256 -sign "sign.key" -out sign.txt.sha256 <plugin-name>.tar.gz

        Como alternativa, você pode assinar plug-ins usando uma autoridade de certificação. Ao fazer isso, atribua o formato .pem do certificado e coloque-o no do agente cert diretório.

      3. Verifique se a assinatura está configurada corretamente. 
        openssl dgst -sha256 -verify  <(openssl x509 -in "sign.crt" -pubkey -noout) -signature sign.txt.sha256 <plugin-name>.tar.gz
        Se o arquivo for válido, a saída será Verificado OK .
      4. Codifique o certificado da assinatura com codificação base64. 
        base64 sign.txt.sha256 > sign.txt.sha256_encode64.sig
        . sign.txt.sha256_encode64.sig o arquivo foi criado.
    3. Execute os comandos a seguir para criar um novo diretório e inserir o. tar.gz e. sign.txt.sha256_encode64.sig arquivos.
      1. mkdir signed-plug-in
      2. plug-in assinado do mv <plugin-name>.tar.gz
      3. mv sign.txt.sha256_encode64.sig signed-plug-in
      4. cd assinado-plug-in
    4. Criar outro tar.gz executando os mesmos comandos que você executou para o primeiro tar.gz arquivo.
      1. Tar -C . -zcvf ../<plugin-name>.tar.gz *
      2. cd..
        Nota:
        Salve o novo arquivo como ../<plugin-name>.tar.gz para evitar colisões de nomenclatura com o original <plugin-name>.tar.gz arquivo que existe no diretório atual.
    5. Carregue o novo tar.gz arquivo de plug-in para a instância.
    6. Defina o arquivo de plug-in como active=true.
    7. Coloque o. sign.crt no agente cert , que está localizado em configuração pasta.
    8. Em acc.yml arquivo, definir verify-plug-signature . verdadeiro .