Activer la signature sécurisée OpenSSL pour les modules d’extension

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 1 minute de lecture

    • Créer un certificat auto-signé pour un module d’extension Agent Client Collector . La procédure suivante donne un exemple de création d’un certificat x509 à l’aide d’OpenSSL. Pour d’autres types de certificats, consultez la documentation OpenSSL.

    Avant de commencer

    • Assurez-vous que la verify-plugin-signature propriété est définie sur True dans le fichier de acc.yml de l’agent pour vérifier la signature du module d’extension.
    • Assurez-vous qu’OpenSSL est installé sur votre système.
    Rôle requis : agent_client_collector_admin

    Pourquoi et quand exécuter cette tâche

    L’activation d’un mécanisme de signature sécurisée OpenSSL pour les plugins fonctionne avec un Agent Client Collector installé sur un Linux système.

    Procédure

    1. Créez un fichier de module d’extension avec une extension tar.gz .
      Pour plus d'informations, consultez Créer et modifier des modules d’extension Agent Client Collector.
    2. Générez votre propre auto-certificat sécurisé pour le fichier du module d’extension.
      1. Créez un certificat x509. 
        openssl req -nodes -x509 -sha256 -newkey rsa:2048 -keyout "sign.key" -out "sign.crt" -days 365 -subj
        "/C=<CountryName>/ST=<StateOrProvinceName>/L=<Locality>/O=<Organization>/OU=<OrganizationalUnit>/CN=sign"
      2. Signez le fichier du module d’extension. 
        openssl dgst -sha256 -sign "sign.key" -out sign.txt.sha256 <plugin-name>.tar.gz

        Vous pouvez également signer des modules d’extension à l’aide d’une autorité de certification. Ce faisant, attribuez le format de certificat .pem et placez-le dans le répertoire de certification de l’agent.

      3. Vérifiez que la signature est correctement configurée. 
        openssl dgst -sha256 -verify  <(openssl x509 -in "sign.crt" -pubkey -noout) -signature sign.txt.sha256 <plugin-name>.tar.gz
        Si le fichier est valide, la sortie est vérifiée OK.
      4. Encodez le certificat de la signature avec le codage base64. 
        base64 sign.txt.sha256 > sign.txt.sha256_encode64.sig
        Un fichier sign.txt.sha256_encode64.sig est créé.
    3. Exécutez les commandes suivantes pour créer un répertoire et insérer les fichiers tar.gz et sign.txt.sha256_encode64.sig .
      1. Module d’extension signé mkdir
      2. mv <plugin-name>.tar.gz signed-plugin
      3. mv sign.txt.sha256_encode64.sig signed-plugin
      4. cd signed-plugin
    4. Créez un autre fichier tar.gz en exécutant les mêmes commandes que pour le premier fichier tar.gz .
      1. tar -C . -zcvf .. /<nom-plugin>.tar.gz *
      2. cd..
        Remarque :
        Enregistrez le nouveau fichier sous .. /<plugin-name>.tar.gz pour éviter les collisions de nom avec le fichier <plugin-name>.tar.gz d’origine qui existe dans le répertoire courant.
    5. Chargez le nouveau fichier de module d’extension tar.gz dans l’instance.
    6. Définir le fichier du module d’extension sur active=true.
    7. Placez le fichier sign.crt dans le répertoire cert de l’agent, qui se trouve dans le dossier config .
    8. Dans le fichier acc.yml , définissez verify-plugin-signature sur vrai.