使用 --enable-ssl 配置 check_nrpe 和 NRPE 守护进程会生成 DH 密钥对。这些 DH 密钥足以建立 SSL 连接吗?或者我们是否需要 CA 签署的证书和密钥?文件说证书可以用于安全。
答案1
SSL/TLS 可以支持不需要 X.509 证书的会话,例如匿名 Diffie Hellman,但您不太可能遇到使用它的现实世界实现 - 首先,此密码套件没有身份验证。
有文档在这里描述了在 Nagios 中配置 TLS 所需的过程。这术语部分有:
要实施 SSL,您需要生成证书。生成证书时,您会创建需要由证书颁发机构 (CA) 签名的请求。该 CA 可以是:
像 VeriSign 这样值得信赖的公司
作为 IT 基础架构一部分的内部 CA,例如 Microsoft Windows CA
Nagios Core 服务器本身(自签名)
因此,根据您需要的安全性/便利性级别,您可能会使用简单的自签名证书。