Aktivieren Sie die sichere OpenSSL-Signatur für Plugins

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Erstellen Sie ein selbstsigniertes Zertifikat für ein Agent Client Collector-Plugin. Das folgende Verfahren zeigt ein Beispiel für die Erstellung eines x509-Zertifikats mit OpenSSL. Informationen zu anderen Zertifikatstypen können Sie der OpenSSL-Dokumentation entnehmen.

    Vorbereitungen

    • Vergewissern Sie sich zum Prüfen der Signatur des Plugin, dass die Eigenschaft verify-plugin-signature in der Datei acc.yml des Agent auf True festgelegt ist.
    • Stellen Sie sicher, dass OpenSSL auf Ihrem System installiert ist.
    Erforderliche Rolle: agent_client_collector_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Das Aktivieren eines sicheren OpenSSL-Signaturmechanismus für -Plugins funktioniert mit einem Agent Client Collector, der auf einem Linux -System installiert ist.

    Prozedur

    1. Erstellen Sie eine Plugin-Datei mit der Erweiterung tar.gz.
      Weitere Informationen finden Sie unter Plugins erstellen und bearbeiten.
    2. Generieren Sie Ihr eigenes sicheres Selbstzertifikat für die Plugin-Datei.
      1. Erstellen Sie ein x509-Zertifikat. 
        openssl req -nodes -x509 -sha256 -newkey rsa:2048 -keyout "sign.key" -out "sign.crt" -days 365 -subj
        "/C=<CountryName>/ST=<StateOrProvinceName>/L=<Locality>/O=<Organization>/OU=<OrganizationalUnit>/CN=sign"
      2. Signieren Sie die Plugin-Datei. 
        openssl dgst -sha256 -sign "sign.key" -out sign.txt.sha256 <plugin-name>.tar.gz

        Alternativ können Sie Plugins mit einer Zertifizierungsstelle signieren. Weisen Sie dabei das PEM-Format des Zertifikats zu, und platzieren Sie es im Verzeichnis cert des Agent.

      3. Vergewissern Sie sich, dass die Signatur richtig konfiguriert ist. 
        openssl dgst -sha256 -verify  <(openssl x509 -in "sign.crt" -pubkey -noout) -signature sign.txt.sha256 <plugin-name>.tar.gz
        Wenn die Datei gültig ist, lautet die Ausgabe Verified OK.
      4. Codieren Sie das Zertifikat der Signatur mit base64-Codierung. 
        base64 sign.txt.sha256 > sign.txt.sha256_encode64.sig
        Eine sign.txt.sha256_encode64.sig-Datei wird erstellt.
    3. Führen Sie die folgenden Befehle aus, um ein neues Verzeichnis zu erstellen, und fügen Sie die Dateien tar.gz und sign.txt.sha256_encode64.sig ein.
      1. mkdir signiertes Plugin
      2. mv<plugin-name> .tar.gz signiertes Plugin
      3. mv sign.txt.sha256_encode64.sig signiertes Plugin
      4. cd signiertes Plugin
    4. Erstellen Sie eine weitere tar.gz -Datei, indem Sie dieselben Befehle ausführen, die Sie für die erste tar.gz -Datei ausgeführt haben.
      1. tar -C . -zcvf ../<plugin-name> .tar.gz *
      2. CD...
        Hinweis:
        Speichern Sie die neue Datei als ../. <plugin-name> .tar.gz , um Namenskollisionen mit dem Original zu vermeiden .tar.gz -Datei, die im aktuellen Verzeichnis vorhanden ist.
    5. Laden Sie die neue tar.gz-Plugin-Datei in die Instanz hoch.
    6. Legen Sie die Plugin-Datei als active=truefest.
    7. Platzieren Sie die Datei sign.crt im Verzeichnis cert des Agent, das sich im Ordner config befindet.
    8. Legen Sie in der Datei acc.ymlverify-plugin-signature auf truefest.