Habilitar a assinatura segura do OpenSSL para plug-ins

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 1 min. de leitura

    • Crie um certificado autoassinado para um plug-in Agent Client Collector. O procedimento a seguir fornece um exemplo de como criar um certificado x509 usando o OpenSSL. Para outros tipos de certificado, consulte a documentação do OpenSSL.

    Antes de Iniciar

    • Certifique-se de que a propriedade verify-plugin-signature esteja definida como Verdadeira no arquivo acc.yml do agente para verificar a assinatura do plug-in.
    • Certifique-se de que o OpenSSL esteja instalado no seu sistema.
    Função necessária: agent_client_collector_admin

    Por Que e Quando Desempenhar Esta Tarefa

    A habilitação de um mecanismo de assinatura segura do OpenSSL para plug-ins funciona com um Agent Client Collector instalado em um sistema Linux.

    Procedimento

    1. Crie um arquivo de plug-in com uma extensão tar.gz.
      Para obter mais informações, consulte Criar e editar Agent Client Collector plug-ins.
    2. Gere sua própria autocertificação segura para o arquivo do plug-in.
      1. Crie um certificado x509. 
        openssl req -nodes -x509 -sha256 -newkey rsa:2048 -keyout "sign.key" -out "sign.crt" -days 365 -subj
        "/C=<CountryName>/ST=<StateOrProvinceName>/L=<Locality>/O=<Organization>/OU=<OrganizationalUnit>/CN=sign"
      2. Assine o arquivo do plug-in. 
        openssl dgst -sha256 -sign "sign.key" -out sign.txt.sha256 <plugin-name>.tar.gz

        Como alternativa, você pode assinar plug-ins usando uma autoridade de certificação. Ao fazer isso, atribua o formato .pem do certificado e coloque-o no diretório de certificado do agente.

      3. Verifique se a assinatura está configurada corretamente. 
        openssl dgst -sha256 -verify  <(openssl x509 -in "sign.crt" -pubkey -noout) -signature sign.txt.sha256 <plugin-name>.tar.gz
        Se o arquivo for válido, a saída será Verificado OK.
      4. Codifique o certificado da assinatura com codificação base64. 
        base64 sign.txt.sha256 > sign.txt.sha256_encode64.sig
        Um arquivo sign.txt.sha256_encode64.sig é criado.
    3. Execute os seguintes comandos para criar um novo diretório e inserir os arquivos tar.gz e sign.txt.sha256_encode64.sig.
      1. plug-in assinado do mkdir
      2. mv<plugin-name> Plug-in assinado .tar.gz
      3. mv sign.txt.sha256_encode64.sig plug-in assinado
      4. plug-in cd assinado
    4. Crie outro arquivo tar.gz executando os mesmos comandos que você executou para o primeiro arquivo tar.gz.
      1. tar -C . -zcvf ../<plugin-name> .tar.gz *
      2. cd...
        Nota:
        Salve o novo arquivo como ../ <plugin-name> .tar.gz para evitar colisões de nomes com o original Arquivo .tar.gz que existe no diretório atual.
    5. Carregue o novo arquivo de plug-in tar.gz para a instância.
    6. Defina o arquivo do plug-in como active=true.
    7. Coloque o arquivo sign.crt no diretório de certificado do agente, que está localizado na pasta de configuração.
    8. No arquivo acc.yml, defina verifique-plugin-signature como verdadeiro.