› › › › ›

SSL/TLS 输入设置

这些设置适用于 APM Server 和 APM Agent 之间的 SSL/TLS 通信。请参阅 APM Agent TLS 通信以了解更多信息。

在 APM 集成设置中启用 TLS，并使用 SSL/TLS 输入设置设置服务器证书和密钥的路径。

以下是启用了安全通信的基本 APM Server SSL 配置。这将使 APM Server 提供 HTTPS 请求而不是 HTTP 请求。

apm-server.ssl.enabled: true
apm-server.ssl.certificate: "/path/to/apm-server.crt"
apm-server.ssl.key: "/path/to/apm-server.key"

完整的配置选项列表可在 SSL/TLS 输入设置中找到。

如果 APM Agent 使用无法通过已知 CA 验证的证书进行身份验证（例如自签名证书），请使用 ssl.certificate_authorities 设置自定义 CA。这将自动修改 ssl.client_authentication 配置以要求身份验证。

启用 TLS编辑

启用或禁用 TLS。默认情况下禁用。

APM Server 二进制文件	`apm-server.ssl.enabled`
Fleet 管理	`启用 TLS`

服务器证书文件路径编辑

包含服务器身份验证证书的文件的路径。如果启用了 TLS，则需要此项。

APM Server 二进制文件	`apm-server.ssl.certificate`
Fleet 管理	`服务器证书文件路径`

服务器证书密钥文件路径编辑

包含服务器证书密钥的文件的路径。如果启用了 TLS，则需要此项。

APM Server 二进制文件	`apm-server.ssl.key`
Fleet 管理	`服务器证书密钥文件路径`

密钥密码编辑

用于解密存储在配置的 apm-server.ssl.key 文件中的加密密钥的密码。

APM Server 二进制文件	`apm-server.ssl.key_passphrase`
Fleet 管理	N/A

支持的协议版本编辑

此设置是允许的协议版本列表：SSLv3、TLSv1.0、TLSv1.1、TLSv1.2 和 TLSv1.3。我们不建议使用 SSLv3 或 TLSv1.0。默认值为 [TLSv1.1, TLSv1.2, TLSv1.3]。

APM Server 二进制文件	`apm-server.ssl.supported_protocols`
Fleet 管理	`支持的协议版本`

TLS 连接的密码套件编辑

要使用的密码套件列表。第一个条目具有最高的优先级。如果省略此选项，则使用 Go 加密库的默认套件（推荐）。请注意，TLS 1.3 密码套件在 Go 中不能单独配置，因此未包含在此列表中。

APM Server 二进制文件	`apm-server.ssl.cipher_suites`
Fleet 管理	`TLS 连接的密码套件`

可用的密码套件如下：

密码	备注
ECDHE-ECDSA-AES-128-CBC-SHA
ECDHE-ECDSA-AES-128-CBC-SHA256	仅限 TLS 1.2。默认情况下禁用。
ECDHE-ECDSA-AES-128-GCM-SHA256	仅限 TLS 1.2。
ECDHE-ECDSA-AES-256-CBC-SHA
ECDHE-ECDSA-AES-256-GCM-SHA384	仅限 TLS 1.2。
ECDHE-ECDSA-CHACHA20-POLY1305	仅限 TLS 1.2。
ECDHE-ECDSA-RC4-128-SHA	默认情况下禁用。不推荐使用 RC4。
ECDHE-RSA-3DES-CBC3-SHA
ECDHE-RSA-AES-128-CBC-SHA
ECDHE-RSA-AES-128-CBC-SHA256	仅限 TLS 1.2。默认情况下禁用。
ECDHE-RSA-AES-128-GCM-SHA256	仅限 TLS 1.2。
ECDHE-RSA-AES-256-CBC-SHA
ECDHE-RSA-AES-256-GCM-SHA384	仅限 TLS 1.2。
ECDHE-RSA-CHACHA20-POLY1205	仅限 TLS 1.2。
ECDHE-RSA-RC4-128-SHA	默认情况下禁用。不推荐使用 RC4。
RSA-3DES-CBC3-SHA
RSA-AES-128-CBC-SHA
RSA-AES-128-CBC-SHA256	仅限 TLS 1.2。默认情况下禁用。
RSA-AES-128-GCM-SHA256	仅限 TLS 1.2。
RSA-AES-256-CBC-SHA
RSA-AES-256-GCM-SHA384	仅限 TLS 1.2。
RSA-RC4-128-SHA	默认情况下禁用。不推荐使用 RC4。

以下是定义密码套件中使用的缩略词列表：

3DES：使用三重 DES 的密码套件。
AES-128/256：使用具有 128/256 位密钥的 AES 的密码套件。
CBC：使用密码块链接作为块密码模式的密码。
ECDHE：使用椭圆曲线 Diffie-Hellman (DH) 临时密钥交换的密码套件。
ECDSA：使用椭圆曲线数字签名算法进行身份验证的密码套件。
GCM：伽罗瓦/计数器模式用于对称密钥加密。
RC4：使用 RC4 的密码套件。
RSA：使用 RSA 的密码套件。
SHA、SHA256、SHA384：使用 SHA-1、SHA-256 或 SHA-384 的密码套件。

基于 ECDHE 的密码套件的曲线类型编辑

ECDHE（椭圆曲线 Diffie-Hellman 临时密钥交换）的曲线类型列表。

APM Server 二进制文件	`apm-server.ssl.curve_types`
Fleet 管理	`基于 ECDHE 的密码套件的曲线类型`

用于验证客户端证书的根证书列表编辑

用于验证客户端证书的根证书列表。如果 certificate_authorities 为空或未设置，则使用主机系统的可信证书颁发机构。如果设置了 certificate_authorities，则 client_authentication 将自动设置为 required。目前，只有通过浏览器的 RUM Agent、Java Agent（请参阅 Agent 证书身份验证）和 Jaeger Agent 支持发送客户端证书。

APM Server 二进制文件	`apm-server.ssl.certificate_authorities`
Fleet 管理	N/A

客户端身份验证编辑

这配置了支持哪些类型的客户端身份验证。有效选项为 none、optional 和 required。默认值为 none。如果已指定 certificate_authorities，则此设置将自动更改为 required。仅当预期 Agent 提供客户端证书时，才需要配置此选项。目前，只有通过浏览器的 RUM Agent、Java Agent（请参阅 Agent 证书身份验证）和 Jaeger Agent 支持发送客户端证书。

none - 禁用客户端身份验证。
optional - 提供客户端证书时，服务器将对其进行验证。
required - 要求客户端提供有效的证书。

APM Server 二进制文件	`apm-server.ssl.client_authentication`
Fleet 管理	N/A

« SSL/TLS 输出设置基于尾部的采样 »