Habilite a assinatura segura OpenSSL para plug-ins

  • Versão de lançamento: Australia
  • Atualizado 12 de mar. de 2026
  • 1 min. de leitura

    • Crie um certificado autoassinado para um Agent Client Collector plug-in. O procedimento a seguir fornece um exemplo de como criar um certificado x509 usando OpenSSL. Para outros tipos de certificados, consulte a documentação do OpenSSL.

    Antes de Iniciar

    • Certifique-se de que verify-plugin-signaturea propriedade está definida como Verdadeiro no agente acc.yml arquivo para verificar a assinatura do plug-in.
    • Certifique-se OpenSSL está instalado no seu sistema.
    Função necessária: agent_client_collector_admin

    Por Que e Quando Desempenhar Esta Tarefa

    A ativação de um mecanismo de assinatura segura OpenSSL para plug-ins funciona com um Agent Client Collector instalado em um Linux sistema.

    Procedimento

    1. Crie um arquivo de plug-in com um tar.gz extensão.
      Para obter mais informações, consulte Criar e editar Agent Client Collector plug-ins.
    2. Gere seu próprio autocertificação seguro para o arquivo de plug-in.
      1. Crie um certificado x509. 
        openssl req -nodes -x509 -sha256 -newkey rsa:2048 -keyout "sign.key" -out "sign.crt" -days 365 -subj
        "/C=<CountryName>/ST=<StateOrProvinceName>/L=<Locality>/O=<Organization>/OU=<OrganizationalUnit>/CN=sign"
      2. Assine o arquivo de plug-in. 
        openssl dgst -sha256 -sign "sign.key" -out sign.txt.sha256 <plugin-name>.tar.gz

        Como alternativa, você pode assinar plug-ins usando uma autoridade de certificação. Ao fazer isso, atribua o formato .pem do certificado e coloque-o no do agente cert diretório.

      3. Verifique se a assinatura está configurada corretamente. 
        openssl dgst -sha256 -verify  <(openssl x509 -in "sign.crt" -pubkey -noout) -signature sign.txt.sha256 <plugin-name>.tar.gz
        Se o arquivo for válido, a saída será Verificado OK .
      4. Codifique o certificado da assinatura com codificação base64. 
        base64 sign.txt.sha256 > sign.txt.sha256_encode64.sig
        R sign.txt.sha256_encode64.sig o arquivo foi criado.
    3. Execute os seguintes comandos para criar um novo diretório e inserir o. tar.gz e. sign.txt.sha256_encode64.sig arquivos.
      1. plug-in assinado do mkdir
      2. plug-in assinado do mv <plugin-name>.tar.gz
      3. sign.txt.sha256_encode64.sig signed-plug-in
      4. cd assinado-plug-in
    4. Crie outro tar.gz executando os mesmos comandos que você executou para o primeiro tar.gz arquivo.
      1. Tar -C . -zcvf ../<plugin-name>.tar.gz *
      2. cd..
        Nota:
        Salve o novo arquivo como ../<plugin-name>.tar.gz para evitar colisões de nomenclatura com o original <plugin-name>.tar.gz arquivo que existe no diretório atual.
    5. Carregue o novo tar.gz arquivo de plug-in para a instância.
    6. Defina o arquivo de plug-in como active=true.
    7. Coloque o. crt.sign.crt no agente cert , que está localizado em configuração pasta.
    8. Em acc.yml arquivo, definir verify-plug-in-signature para verdadeiro .