SSL/TLS 输入设置
编辑SSL/TLS 输入设置
编辑这些设置适用于 APM Server 和 APM Agent 之间的 SSL/TLS 通信。请参阅 APM agent TLS 通信 了解更多信息。
在 APM 集成设置中启用 TLS,并使用 SSL/TLS 输入设置 设置服务器证书和密钥的路径。
以下是一个启用了安全通信的基本 APM Server SSL 配置。这将使 APM Server 提供 HTTPS 请求而不是 HTTP 请求。
apm-server.ssl.enabled: true apm-server.ssl.certificate: "/path/to/apm-server.crt" apm-server.ssl.key: "/path/to/apm-server.key"
SSL/TLS 输入设置 中提供了完整的配置选项列表。
如果 APM Agent 使用无法通过已知 CA(例如,自签名证书)进行身份验证的证书进行身份验证,请使用 ssl.certificate_authorities
设置自定义 CA。这将自动修改 ssl.client_authentication
配置以要求身份验证。
启用或禁用 TLS。默认情况下禁用。
APM Server 二进制文件 |
|
Fleet 管理 |
|
包含用于服务器身份验证的证书的文件的路径。如果启用了 TLS,则为必填项。
APM Server 二进制文件 |
|
Fleet 管理 |
|
包含服务器证书密钥的文件的路径。如果启用了 TLS,则为必填项。
APM Server 二进制文件 |
|
Fleet 管理 |
|
用于解密存储在配置的 apm-server.ssl.key
文件中的加密密钥的密码。
APM Server 二进制文件 |
|
Fleet 管理 |
不适用 |
此设置是允许的协议版本的列表:SSLv3
、TLSv1.0
、TLSv1.1
、TLSv1.2
和 TLSv1.3
。我们不建议使用 SSLv3
或 TLSv1.0
。默认值为 [TLSv1.1, TLSv1.2, TLSv1.3]
。
APM Server 二进制文件 |
|
Fleet 管理 |
|
要使用的密码套件列表。第一个条目具有最高优先级。如果省略此选项,则使用 Go crypto 库的 默认套件(推荐)。请注意,TLS 1.3 密码套件在 Go 中无法单独配置,因此它们不包含在此列表中。
APM Server 二进制文件 |
|
Fleet 管理 |
|
以下是可用的密码套件
密码 | 备注 |
---|---|
ECDHE-ECDSA-AES-128-CBC-SHA |
|
ECDHE-ECDSA-AES-128-CBC-SHA256 |
仅限 TLS 1.2。默认情况下禁用。 |
ECDHE-ECDSA-AES-128-GCM-SHA256 |
仅限 TLS 1.2。 |
ECDHE-ECDSA-AES-256-CBC-SHA |
|
ECDHE-ECDSA-AES-256-GCM-SHA384 |
仅限 TLS 1.2。 |
ECDHE-ECDSA-CHACHA20-POLY1305 |
仅限 TLS 1.2。 |
ECDHE-ECDSA-RC4-128-SHA |
默认情况下禁用。不建议使用 RC4。 |
ECDHE-RSA-3DES-CBC3-SHA |
|
ECDHE-RSA-AES-128-CBC-SHA |
|
ECDHE-RSA-AES-128-CBC-SHA256 |
仅限 TLS 1.2。默认情况下禁用。 |
ECDHE-RSA-AES-128-GCM-SHA256 |
仅限 TLS 1.2。 |
ECDHE-RSA-AES-256-CBC-SHA |
|
ECDHE-RSA-AES-256-GCM-SHA384 |
仅限 TLS 1.2。 |
ECDHE-RSA-CHACHA20-POLY1205 |
仅限 TLS 1.2。 |
ECDHE-RSA-RC4-128-SHA |
默认情况下禁用。不建议使用 RC4。 |
RSA-3DES-CBC3-SHA |
|
RSA-AES-128-CBC-SHA |
|
RSA-AES-128-CBC-SHA256 |
仅限 TLS 1.2。默认情况下禁用。 |
RSA-AES-128-GCM-SHA256 |
仅限 TLS 1.2。 |
RSA-AES-256-CBC-SHA |
|
RSA-AES-256-GCM-SHA384 |
仅限 TLS 1.2。 |
RSA-RC4-128-SHA |
默认情况下禁用。不建议使用 RC4。 |
以下是用于定义密码套件的缩写列表
- 3DES:使用三重 DES 的密码套件
- AES-128/256:使用具有 128/256 位密钥的 AES 的密码套件。
- CBC:使用密码块链接作为分组密码模式的密码。
- ECDHE:使用椭圆曲线 Diffie-Hellman (DH) 临时密钥交换的密码套件。
- ECDSA:使用椭圆曲线数字签名算法进行身份验证的密码套件。
- GCM:伽罗瓦/计数器模式用于对称密钥加密。
- RC4:使用 RC4 的密码套件。
- RSA:使用 RSA 的密码套件。
- SHA、SHA256、SHA384:使用 SHA-1、SHA-256 或 SHA-384 的密码套件。
用于 ECDHE(椭圆曲线 Diffie-Hellman 临时密钥交换)的曲线类型列表。
APM Server 二进制文件 |
|
Fleet 管理 |
|
用于验证客户端证书的根证书列表。如果 certificate_authorities
为空或未设置,则使用主机系统的受信任证书颁发机构。如果设置了 certificate_authorities
,则 client_authentication
将自动设置为 required
。目前只有 RUM Agent 通过浏览器、Java Agent(请参阅 Agent 证书身份验证)和 Jaeger Agent 支持发送客户端证书。
APM Server 二进制文件 |
|
Fleet 管理 |
不适用 |
此项配置支持的客户端身份验证类型。有效选项为 none
、optional
和 required
。默认值为 none
。如果已指定 certificate_authorities
,则此设置将自动更改为 required
。只有当期望 Agent 提供客户端证书时,才需要配置此选项。目前只有 RUM Agent 通过浏览器、Java Agent(请参阅 Agent 证书身份验证)和 Jaeger Agent 支持发送客户端证书。
-
none
- 禁用客户端身份验证。 -
optional
- 当提供客户端证书时,服务器将对其进行验证。 -
required
- 要求客户端提供有效的证书。
APM Server 二进制文件 |
|
Fleet 管理 |
不适用 |