關於 Hyperic HQ 的 SSL 鏈接配置

Hyperic 支持 server-agent 和 agent-server的雙向 SSL通訊。採用SSL是最佳實踐。

Server-agent 通訊一般採用 SSL. Agent-Server的通訊能夠配置爲SSL。

若是產品插件支持SSL，Hyperic Agent就可在SSL上管理這些產品。

當Hyperic Server和 Hyperic Agent 基於SSL通訊時，每一個組件都會驗證其餘SSL證書的有效性。

Hyperic 證書處理

在安裝完成後，當Hyperic Agent第一次向Hyperic Server發起鏈接時，HQ Server向 HQ Agent出示其SSL證書，若是Agent信任此證書，那麼Agent將把該證書導入到本身的 Keystore。

Hyperic Agent信任某個Server證書的條件是：

■ 若是該證書已經在Agent的Keystore中存在；

■若是該證書具備與Agent證書相同的CA；

默認狀況下，若是Agent不信任Server出示的證書，Agent將發出警告。用戶能夠中斷配置過程，而後設置SSL. Hyperic Server和Hyperic Agent不會導入不信任的證書，除非用戶在提示警告時回答Yes。

固然，用戶也能夠配置組件自動接受不信任的證書，而不提示警告。考慮到安全性，很是不建議這種作法。可查看  agent.setup.acceptUnverifiedCertificate (在文件AgentHome/conf/agent.properties中) 和 accept.unverified.certificates（在文件 ServerHome/conf/hq-server.conf中）的屬性值。

Hyperic Server 和 SSL

若是用戶正在使用標準的Hyepric setup.sh 或 setup.bat 安裝程序，用戶能夠在安裝Hyperic Server的以前安裝 Hyperic Server的keystore/

若是用戶在安裝Hyperic Server時沒有配置使用已有的keystore， 而且也沒有提供其位置和口令，那麼Hyepric 安裝程序將建立一個自簽名證書的keystore，名稱是 hyperic.keystore, 存放在 ServerHome/conf 目錄下，口令是 hyperic.當與Hyperic Agent鏈接時，將出示該證書。

Hyepric Agent和SSL

爲了在 Agent-Server通訊中使用SSL，用戶應在第一次啓動Agent前安裝Hyperic agent的 keysotre。若是使用hyperic生成的keystore, 用戶應須要爲每一個生成的keystore更新口令。

配置 Hyperic Agent- Server的 SSL 通訊

用戶能夠爲Hyperic Agent配置使用SSL與Hyperic Server通訊。

必須爲每個Hyperic Agent配置SSL

條件

■在初始啓動Agent前，應驗證Hyperic Agent的keystore已經安裝好。每一個Agent必須有本身的keystore.

■驗證Hyperic Server和每一個Hyperic Agent都有SSL證書

■驗證Hyperic Server在其主機上有一個 JKS格式的keystore，而且已經導入其SSL證書。

■注意當以全模式運行Hyperic 安裝程序時，安裝程序提示輸入全路徑的JKS格式的keystore和口令。

過程

1，設置 Hyperic Agent的keystore。

2，導入Agent的ssl 證書。

3，在 Agent的agent.properties 文件中，指定下面屬性的值.

agent.keystore.path： 指定Agent keystore的位置；

agent.keystore.password：指定該agent keystore的口令；

Hyperic Agent的keystore的口令必須與私有密鑰的口令相同。

4（可選）若是配置的是單向通訊，應在agent.keystore.alias屬性中指定keystore的名字。

5，保存配置文件，而後重啓Agent.

Hyperic 中文免費下載地址 http://www.innovatedigital.com/download/hyperic_index.asp