Aktivieren Sie die sichere OpenSSL-Signatur für Plugins

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Erstellen Sie ein selbstsigniertes Zertifikat für ein Agent Client Collector-Plugin. Das folgende Verfahren zeigt ein Beispiel für die Erstellung eines x509-Zertifikats mit OpenSSL. Informationen zu anderen Zertifikatstypen können Sie der OpenSSL-Dokumentation entnehmen.

    Vorbereitungen

    • Vergewissern Sie sich zum Prüfen der Signatur des Plugin, dass die Eigenschaft verify-plugin-signature in der Datei acc.yml des Agent auf True festgelegt ist.
    • Stellen Sie Sicher OpenSSL Ist auf Ihrem System installiert.
    Erforderliche Rolle: agent_client_collector_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Das Aktivieren eines sicheren OpenSSL-Signaturmechanismus für Plugins funktioniert mit einem Agent Client Collector Installiert auf einem Linux System.

    Prozedur

    1. Erstellen Sie eine Plugin-Datei mit der Erweiterung tar.gz.
      Weitere Informationen finden Sie unter Erstellen und bearbeiten Agent Client Collector Plugins.
    2. Generieren Sie Ihr eigenes sicheres Selbstzertifikat für die Plugin-Datei.
      1. Erstellen Sie ein x509-Zertifikat. 
        openssl req -nodes -x509 -sha256 -newkey rsa:2048 -keyout "sign.key" -out "sign.crt" -days 365 -subj
        "/C=<CountryName>/ST=<StateOrProvinceName>/L=<Locality>/O=<Organization>/OU=<OrganizationalUnit>/CN=sign"
      2. Signieren Sie die Plugin-Datei. 
        openssl dgst -sha256 -sign "sign.key" -out sign.txt.sha256 <plugin-name>.tar.gz

        Alternativ können Sie Plugins mit einer Zertifizierungsstelle signieren. Weisen Sie dabei das PEM-Format des Zertifikats zu, und platzieren Sie es im Verzeichnis cert des Agent.

      3. Vergewissern Sie sich, dass die Signatur richtig konfiguriert ist. 
        openssl dgst -sha256 -verify  <(openssl x509 -in "sign.crt" -pubkey -noout) -signature sign.txt.sha256 <plugin-name>.tar.gz
        Wenn die Datei gültig ist, lautet die Ausgabe Verified OK.
      4. Codieren Sie das Zertifikat der Signatur mit base64-Codierung. 
        base64 sign.txt.sha256 > sign.txt.sha256_encode64.sig
        Eine sign.txt.sha256_encode64.sig-Datei wird erstellt.
    3. Führen Sie die folgenden Befehle aus, um ein neues Verzeichnis zu erstellen und einzufügen tar.gz Und Sign.txt.sha256_encode64.sig Dateien.
      1. Mkdir Signed-Plugin
      2. mv <plugin-name>.tar.gz Signed-Plugin
      3. mv Sign.txt.sha256_encode64.sig signed-Plugin
      4. cd signiert – Plugin
    4. Erstellen Sie eine weitere tar.gz Datei, indem Sie dieselben Befehle ausführen, die Sie für den ersten ausgeführt haben tar.gz Datei.
      1. Teer -C . -Zcvf ../<plugin-name>.tar.gz *
      2. cd..
        Hinweis:
        Speichern Sie die neue Datei unter ../<plugin-name>.tar.gz Um Benennungskollisionen mit dem Original zu vermeiden <plugin-name>.tar.gz Datei, die im aktuellen Verzeichnis vorhanden ist.
    5. Laden Sie die neue tar.gz-Plugin-Datei in die Instanz hoch.
    6. Legen Sie die Plugin-Datei als fest active=true.
    7. Platzieren Sie Signieren.crt Datei in der des Service Desk-Mitarbeiters zertifikat Verzeichnis, das sich in befindet Konfiguration Ordner.
    8. In acc.yml Datei, festlegen Plugin-Signatur verifizieren Bis Wahr .