Hyperic 支持 server-agent 和 agent-server的双向 SSL通信。采用SSL是最佳实践。
Server-agent 通信通常采用 SSL. Agent-Server的通信可以配置为SSL。
如果产品插件支持SSL,Hyperic Agent就可在SSL上管理这些产品。
当Hyperic Server和 Hyperic Agent 基于SSL通信时,每个组件都会验证其他SSL证书的有效性。
Hyperic 证书处理
在安装完成后,当Hyperic Agent第一次向Hyperic Server发起连接时,HQ Server向 HQ Agent出示其SSL证书,如果Agent信任此证书,那么Agent将把该证书导入到自己的 Keystore。
Hyperic Agent信任某个Server证书的条件是:
■ 如果该证书已经在Agent的Keystore中存在;
■如果该证书具有与Agent证书相同的CA;
默认情况下,如果Agent不信任Server出示的证书,Agent将发出警告。用户可以中断配置过程,然后设置SSL. Hyperic Server和Hyperic Agent不会导入不信任的证书,除非用户在提示警告时回答Yes。
当然,用户也可以配置组件自动接受不信任的证书,而不提示警告。考虑到安全性,非常不建议这种做法。可查看 agent.setup.acceptUnverifiedCertificate (在文件AgentHome/conf/agent.properties中) 和 accept.unverified.certificates(在文件 ServerHome/conf/hq-server.conf中)的属性值。
Hyperic Server 和 SSL
如果用户正在使用标准的Hyepric setup.sh 或 setup.bat 安装程序,用户可以在安装Hyperic Server的之前安装 Hyperic Server的keystore/
如果用户在安装Hyperic Server时没有配置使用已有的keystore, 并且也没有提供其位置和口令,那么Hyepric 安装程序将创建一个自签名证书的keystore,名称是 hyperic.keystore, 存放在 ServerHome/conf 目录下,口令是 hyperic.当与Hyperic Agent连接时,将出示该证书。
Hyepric Agent和SSL
为了在 Agent-Server通信中使用SSL,用户应在第一次启动Agent前安装Hyperic agent的 keysotre。如果使用hyperic生成的keystore, 用户应需要为每个生成的keystore更新口令。
配置 Hyperic Agent- Server的 SSL 通信
用户可以为Hyperic Agent配置使用SSL与Hyperic Server通信。
必须为每一个Hyperic Agent配置SSL
条件
■在初始启动Agent前,应验证Hyperic Agent的keystore已经安装好。每个Agent必须有自己的keystore.
■验证Hyperic Server和每个Hyperic Agent都有SSL证书
■验证Hyperic Server在其主机上有一个 JKS格式的keystore,并且已经导入其SSL证书。
■注意当以全模式运行Hyperic 安装程序时,安装程序提示输入全路径的JKS格式的keystore和口令。
过程
1,设置 Hyperic Agent的keystore。
2,导入Agent的ssl 证书。
3,在 Agent的agent.properties 文件中,指定下面属性的值.
agent.keystore.path: 指定Agent keystore的位置;
agent.keystore.password:指定该agent keystore的口令;
Hyperic Agent的keystore的口令必须与私有密钥的口令相同。
4(可选)如果配置的是单向通信,应在agent.keystore.alias属性中指定keystore的名字。
5,保存配置文件,然后重启Agent.
Hyperic 中文免费下载地址 http://www.innovatedigital.com/download/hyperic_index.asp
来源:oschina
链接:https://my.oschina.net/u/57337/blog/314301