关于 Hyperic HQ 的 SSL 连接配置

Hyperic 支持 server-agent 和 agent-server的双向 SSL通信。采用SSL是最佳实践。

Server-agent 通信通常采用 SSL. Agent-Server的通信可以配置为SSL。

如果产品插件支持SSL,Hyperic Agent就可在SSL上管理这些产品。

当Hyperic Server和 Hyperic Agent 基于SSL通信时,每个组件都会验证其他SSL证书的有效性。

Hyperic 证书处理

在安装完成后,当Hyperic Agent第一次向Hyperic Server发起连接时,HQ Server向 HQ Agent出示其SSL证书,如果Agent信任此证书,那么Agent将把该证书导入到自己的 Keystore。

Hyperic Agent信任某个Server证书的条件是:

■ 如果该证书已经在Agent的Keystore中存在;

■如果该证书具有与Agent证书相同的CA;

默认情况下,如果Agent不信任Server出示的证书,Agent将发出警告。用户可以中断配置过程,然后设置SSL. Hyperic Server和Hyperic Agent不会导入不信任的证书,除非用户在提示警告时回答Yes。

当然,用户也可以配置组件自动接受不信任的证书,而不提示警告。考虑到安全性,非常不建议这种做法。可查看  agent.setup.acceptUnverifiedCertificate (在文件AgentHome/conf/agent.properties中) 和 accept.unverified.certificates(在文件 ServerHome/conf/hq-server.conf中)的属性值。

Hyperic Server 和 SSL

如果用户正在使用标准的Hyepric setup.sh 或 setup.bat 安装程序,用户可以在安装Hyperic Server的之前安装 Hyperic Server的keystore/

如果用户在安装Hyperic Server时没有配置使用已有的keystore, 并且也没有提供其位置和口令,那么Hyepric 安装程序将创建一个自签名证书的keystore,名称是 hyperic.keystore, 存放在 ServerHome/conf 目录下,口令是 hyperic.当与Hyperic Agent连接时,将出示该证书。

Hyepric Agent和SSL

为了在 Agent-Server通信中使用SSL,用户应在第一次启动Agent前安装Hyperic agent的 keysotre。如果使用hyperic生成的keystore, 用户应需要为每个生成的keystore更新口令。

配置 Hyperic Agent- Server的 SSL 通信

用户可以为Hyperic Agent配置使用SSL与Hyperic Server通信。

必须为每一个Hyperic Agent配置SSL

条件

■在初始启动Agent前,应验证Hyperic Agent的keystore已经安装好。每个Agent必须有自己的keystore.

■验证Hyperic Server和每个Hyperic Agent都有SSL证书

■验证Hyperic Server在其主机上有一个 JKS格式的keystore,并且已经导入其SSL证书。

■注意当以全模式运行Hyperic 安装程序时,安装程序提示输入全路径的JKS格式的keystore和口令。

过程

1,设置 Hyperic Agent的keystore。

2,导入Agent的ssl 证书。

3,在 Agent的agent.properties 文件中,指定下面属性的值.

agent.keystore.path: 指定Agent keystore的位置;

agent.keystore.password:指定该agent keystore的口令;

Hyperic Agent的keystore的口令必须与私有密钥的口令相同。

4(可选)如果配置的是单向通信,应在agent.keystore.alias属性中指定keystore的名字。

5,保存配置文件,然后重启Agent.

Hyperic 中文免费下载地址 http://www.innovatedigital.com/download/hyperic_index.asp


你可能感兴趣的:(系统监控,hyperic,监控工具,应用监控,运维管理)