フォーラム日本Zabbixユーザー会フォーラム

Zabbixからクライアント証明書が必要なWebページの監視

2015/08/20 - 16:45 (木) kaeru - 投稿数: 264

いつもお世話になっております。
Zabbixからクライアント証明書が必要なWebページの監視をしたいと考えております。
Zabbix2.4からSSL認証機能が追加されたと思いますが、
いまいち使用方法がわかりません。

添付設定画面ですと、
「SSL証明書ファイル」にはクライアント証明書を指定すれば良さそうなのですが、
「SSL秘密鍵ファイル」「SSL秘密鍵パスワード」に関しては
Webページを見る側のZabbixがなぜ秘密鍵を持っている必要があるか分かりませんでした。
見当違いなことを聞いているかもしれませんが、
知恵を貸していただきたく。

‹ trap動作の不具合について テンプレートのスクリーンでホストの障害が選べない ›

コメント表示オプション

お好みのコメント表示方法を選び「設定の保存」をクリックすると変更が反映されます。
ユーザー TNK の写真
2015/08/21 - 10:17 (金)
TNK - 投稿数: 4769

以下のURLにも簡単な説明があります。
http://blog.zabbix.com/zabbix-2-4-features-part-3-ssl-verification-and-a...
https://www.zabbix.com/documentation/2.4/manual/introduction/whatsnew240...
https://www.zabbix.com/documentation/2.4/manual/web_monitoring#configuri...

簡単に書いてしまえば、クライアント証明書にキーが含まれている
のであれば、SSL証明書ファイル(SSL certificate file)だけを設
定すれば良いでしょう。

秘密鍵が別のファイルになっているのであれば、SSL秘密鍵ファイ
ル(SSL key file)も指定してください。
パスワードがかかっているのであれば、SSL秘密鍵パスワード(SSL
key password)も指定することが必要になったはずです。

クライアント証明書を作成された時の手順と合わせてご確認くださ
い。
実際に運用されている方がいらっしゃったら補足や修正をお願いし
ます。

ユーザー kaeru の写真
2015/08/24 - 19:43 (月)
kaeru - 投稿数: 264

>TNK様
平素よりお世話になっております。
ご回答ありがとうございます。
現在テスト中ですが備忘録を兼ねてご報告します。
どなたか「全然違うよ」ということであれば突っ込みを頂戴したいです。

・リンクして頂いたURLを確認し、SSL証明書だけ設定すれば良いようなことが書いてありましたが、
 実際設定しようとすると、添付:pic1.pngのようにkeyファイルの指定を求められました。
  (秘密鍵ファイルパスワードが無ければSSL証明書ファイル指定のみで良さそうです。)

・SSL証明書ファイル(クライアント証明書)、SSL秘密鍵ファイルに関しては
 配置ディレクトリをzabbix_server.conf内の「SSLCertLocation」「SSLKeyLocation」に記述する必要有り。

・クライアント認証ファイルの拡張子はpem指定。

→現行はまだ成功しておらず、pic2.pngのエラーが出て四苦八苦している段階です。
 確認でき次第、またご報告します。

ユーザー TNK の写真
2015/08/24 - 19:52 (月)
TNK - 投稿数: 4769

クライアント証明書をどのような手順で作成されましたか?

ユーザー kaeru の写真
2015/08/26 - 16:32 (水)
kaeru - 投稿数: 264

>TNK様
openssl回りで迷走中のため明確に「こう作りました」と言えない状況です。
申し訳ありません。
参考としてはQiitaさんで公開されている以下のURLの通りに作成しております。
http://qiita.com/mitzi2funk/items/602d9c5377f52cb60e54

Windows(IE)の確認では以下の確認が出来ています。
 0.作成したクライアント証明書(pfx)をインポート
 1.IEで対象URLを選択すると証明書の選択画面が表示される
 2.証明書を選択し、URLが表示されることを確認
   (証明書が無い端末ではアクセスできないことを確認)

最早、zabbixとは関係ない場所で詰まり始めているため、
一旦その辺を固めて、検証後にご報告致します。

ユーザー kaeru の写真
2015/08/26 - 19:08 (水)
kaeru - 投稿数: 264

SSL証明書、秘密鍵を分離し、それぞれの拡張子をpemとして指定を行いましたが、
クライアントキーが読み込めない旨のエラーが解決できませんでした。
 >ステップ"URL監視S" [1の1] 失敗: Problem with the local SSL certificate: Unable to load client key -8178.
現行、公式マニュアル以上の情報が無いため、当方ではこれ以上の検証が困難でした。
今回は2.2以前にならってスクリプトで対応し、折を見て改めて検証を行おうと思います。

ユーザー kaeru の写真
2015/09/10 - 16:20 (木)
kaeru - 投稿数: 264

クライアント証明書の作成方法が悪かったようです。
別の方で検証して頂いたところ動作することを確認致しました。

kaeruさんについて

ユーザー kaeru の写真

アカウント名
kaeru

居住地
nagano

新しいフォーラムトピック

続き

活発なフォーラムトピック

続き

ユーザーログイン

Twitter

ZabbixオフィシャルTwitter (日本語)