Aktivieren Sie die sichere OpenSSL-Signierung für -Plugins

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Erstellen Sie ein selbstsigniertes Zertifikat für ein Agent Client Collector-Plugin. Das folgende Verfahren zeigt ein Beispiel für die Erstellung eines x509-Zertifikats mit OpenSSL. Informationen zu anderen Zertifikatstypen können Sie der OpenSSL-Dokumentation entnehmen.

    Vorbereitungen

    • Vergewissern Sie sich zum Prüfen der Signatur des Plugin, dass die Eigenschaft verify-plugin-signature in der Datei acc.yml des Agent auf True festgelegt ist.
    • Stellen Sie sicher, dass OpenSSL auf Ihrem System installiert ist.
    Erforderliche Rolle: agent_client_collector_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Das Aktivieren eines sicheren OpenSSL-Signiermechanismus für -Plugins funktioniert, wenn Agent Client Collector auf einem Linux -System installiert ist.

    Prozedur

    1. Erstellen Sie eine Plugin-Datei mit der Erweiterung tar.gz.
      Weitere Informationen finden Sie unter Agent Client Collector -Plugins erstellen und bearbeiten.
    2. Generieren Sie Ihr eigenes sicheres Selbstzertifikat für die Plugin-Datei.
      1. Erstellen Sie ein x509-Zertifikat. 
        openssl req -nodes -x509 -sha256 -newkey rsa:2048 -keyout "sign.key" -out "sign.crt" -days 365 -subj
        "/C=<CountryName>/ST=<StateOrProvinceName>/L=<Locality>/O=<Organization>/OU=<OrganizationalUnit>/CN=sign"
      2. Signieren Sie die Plugin-Datei. 
        openssl dgst -sha256 -sign "sign.key" -out sign.txt.sha256 <plugin-name>.tar.gz

        Alternativ können Sie Plugins mit einer Zertifizierungsstelle signieren. Weisen Sie dabei das PEM-Format des Zertifikats zu, und platzieren Sie es im Verzeichnis cert des Agent.

      3. Vergewissern Sie sich, dass die Signatur richtig konfiguriert ist. 
        openssl dgst -sha256 -verify  <(openssl x509 -in "sign.crt" -pubkey -noout) -signature sign.txt.sha256 <plugin-name>.tar.gz
        Wenn die Datei gültig ist, lautet die Ausgabe Verified OK.
      4. Codieren Sie das Zertifikat der Signatur mit base64-Codierung. 
        base64 sign.txt.sha256 > sign.txt.sha256_encode64.sig
        Eine sign.txt.sha256_encode64.sig-Datei wird erstellt.
    3. Führen Sie die folgenden Befehle aus, um ein neues Verzeichnis zu erstellen und die Dateien „tar.gz“ und „sign.txt.sha256_encode64.sig“ einzufügen.
      1. mkdir-Signed-Plugin
      2. mv<plugin-name> .tar.gz signiertes Plugin
      3. mv sign.txt.sha256_encode64.sig Signiertes Plugin
      4. cd signiertes Plugin
    4. Erstellen Sie eine weitere „tar.gz“ -Datei, indem Sie dieselben Befehle wie für die erste „tar.gz“ -Datei ausführen.
      1. tar -C . -zcvf ../<plugin-name> .tar.gz *
      2. CD…
        Hinweis:
        Neue Datei speichern als ../ <plugin-name> .tar.gz, um Namenskollisionen mit dem Original zu vermeiden .tar.gz- Datei, die im aktuellen Verzeichnis vorhanden ist.
    5. Laden Sie die neue tar.gz-Plugin-Datei in die Instanz hoch.
    6. Legen Sie die Plugin-Datei als active=truefest.
    7. Platzieren Sie die Datei sign.crt im Zertifikatverzeichnis des Agent, das sich im Konfigurationsordner befindet.
    8. Legen Sie in der Datei acc.yml den Wert „verify-plugin-signature“ auf truefest.