Activer la signature sécurisée OpenSSL pour les modules d’extension

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 1 minute de lecture

    • Créez un certificat autosigné pour un module d'extension Agent Client Collector. La procédure suivante fournit un exemple de création d'un certificat x509 à l'aide d'OpenSSL. Pour d'autres types de certificats, consultez la documentation d'OpenSSL.

    Avant de commencer

    • Assurez-vous que la propriété verify-plugin-signature est définie sur Vrai dans le fichier acc.yml de l'agent pour vérifier la signature du module d'extension.
    • Assurez-vous qu’OpenSSL est installé sur votre système.
    Rôle requis : agent_client_collector_admin

    Pourquoi et quand exécuter cette tâche

    L’activation d’un mécanisme de signature sécurisée OpenSSL pour les modules d’extension fonctionne avec une Agent Client Collector installation sur un Linux système.

    Procédure

    1. Créez un fichier de module d'extension avec une extension tar.gz.
      Pour plus d'informations, consultez Créer et modifier des modules d’extension Agent Client Collector.
    2. Générez votre propre certificat autosigné sécurisé pour le fichier du module d'extension.
      1. Créez un certificat x509. 
        openssl req -nodes -x509 -sha256 -newkey rsa:2048 -keyout "sign.key" -out "sign.crt" -days 365 -subj
        "/C=<CountryName>/ST=<StateOrProvinceName>/L=<Locality>/O=<Organization>/OU=<OrganizationalUnit>/CN=sign"
      2. Signez le fichier du module d'extension. 
        openssl dgst -sha256 -sign "sign.key" -out sign.txt.sha256 <plugin-name>.tar.gz

        Vous pouvez également signer des modules d'extension à l'aide d'une autorité de certification. Le cas échéant, affectez le format .pem du certificat et placez-le dans le répertoire cert de l'agent.

      3. Vérifiez que la signature est correctement configurée. 
        openssl dgst -sha256 -verify  <(openssl x509 -in "sign.crt" -pubkey -noout) -signature sign.txt.sha256 <plugin-name>.tar.gz
        Si le fichier est valide, vous obtenez le résultat Vérification OK.
      4. Codez le certificat de signature en utilisant le codage base64. 
        base64 sign.txt.sha256 > sign.txt.sha256_encode64.sig
        Un fichier sign.txt.sha256_encode64.sig est créé.
    3. Exécutez les commandes suivantes pour créer un nouveau répertoire et insérer les fichiers tar.gz et sign.txt.sha256_encode64.sig .
      1. mkdir signed-plugin
      2. mv <nom-plugin>.tar.gz plug-in signé
      3. mv sign.txt.sha256_encode64.sig signed-plugin
      4. CD signed-plugin
    4. Créez un autre fichier tar.gz en exécutant les mêmes commandes que pour le premier fichier tar.gz .
      1. goudron -C . -zcvf .. /<nom-plugin>.tar.gz *
      2. CD..
        Remarque :
        Enregistrez le nouveau fichier sous . /<nom-plugin>.tar.gz pour éviter les collisions de nommage avec le fichier <nom-plugin-name>.tar.gz d’origine qui existe dans le répertoire courant.
    5. Chargez le nouveau fichier de module d'extension tar.gz sur l'instance.
    6. Définissez le fichier du module d’extension sur active=true.
    7. Placez le fichier sign.crt dans le répertoire cert de l’agent, qui se trouve dans le dossier config.
    8. Dans le fichier acc.yml , définissez verify-plugin-signature sur vrai.