SSL/TLS 输入设置
编辑

这些设置适用于 APM Server 和 APM Agent 之间的 SSL/TLS 通信。请参阅 APM agent TLS 通信 了解更多信息。

在 APM 集成设置中启用 TLS,并使用 SSL/TLS 输入设置 设置服务器证书和密钥的路径。

启用 TLS编辑

启用或禁用 TLS。默认情况下禁用。

APM Server 二进制文件

apm-server.ssl.enabled

Fleet 管理

启用 TLS

服务器证书的文件路径编辑

包含用于服务器身份验证的证书的文件的路径。如果启用了 TLS,则为必填项。

APM Server 二进制文件

apm-server.ssl.certificate

Fleet 管理

服务器证书的文件路径

服务器证书密钥的文件路径编辑

包含服务器证书密钥的文件的路径。如果启用了 TLS,则为必填项。

APM Server 二进制文件

apm-server.ssl.key

Fleet 管理

服务器证书密钥的文件路径

密钥密码编辑

用于解密存储在配置的 apm-server.ssl.key 文件中的加密密钥的密码。

APM Server 二进制文件

apm-server.ssl.key_passphrase

Fleet 管理

不适用

支持的协议版本编辑

此设置是允许的协议版本的列表:SSLv3TLSv1.0TLSv1.1TLSv1.2TLSv1.3。我们不建议使用 SSLv3TLSv1.0。默认值为 [TLSv1.1, TLSv1.2, TLSv1.3]

APM Server 二进制文件

apm-server.ssl.supported_protocols

Fleet 管理

支持的协议版本

TLS 连接的密码套件编辑

要使用的密码套件列表。第一个条目具有最高优先级。如果省略此选项,则使用 Go crypto 库的 默认套件(推荐)。请注意,TLS 1.3 密码套件在 Go 中无法单独配置,因此它们不包含在此列表中。

APM Server 二进制文件

apm-server.ssl.cipher_suites

Fleet 管理

TLS 连接的密码套件

以下是可用的密码套件

密码 备注

ECDHE-ECDSA-AES-128-CBC-SHA

ECDHE-ECDSA-AES-128-CBC-SHA256

仅限 TLS 1.2。默认情况下禁用。

ECDHE-ECDSA-AES-128-GCM-SHA256

仅限 TLS 1.2。

ECDHE-ECDSA-AES-256-CBC-SHA

ECDHE-ECDSA-AES-256-GCM-SHA384

仅限 TLS 1.2。

ECDHE-ECDSA-CHACHA20-POLY1305

仅限 TLS 1.2。

ECDHE-ECDSA-RC4-128-SHA

默认情况下禁用。不建议使用 RC4。

ECDHE-RSA-3DES-CBC3-SHA

ECDHE-RSA-AES-128-CBC-SHA

ECDHE-RSA-AES-128-CBC-SHA256

仅限 TLS 1.2。默认情况下禁用。

ECDHE-RSA-AES-128-GCM-SHA256

仅限 TLS 1.2。

ECDHE-RSA-AES-256-CBC-SHA

ECDHE-RSA-AES-256-GCM-SHA384

仅限 TLS 1.2。

ECDHE-RSA-CHACHA20-POLY1205

仅限 TLS 1.2。

ECDHE-RSA-RC4-128-SHA

默认情况下禁用。不建议使用 RC4。

RSA-3DES-CBC3-SHA

RSA-AES-128-CBC-SHA

RSA-AES-128-CBC-SHA256

仅限 TLS 1.2。默认情况下禁用。

RSA-AES-128-GCM-SHA256

仅限 TLS 1.2。

RSA-AES-256-CBC-SHA

RSA-AES-256-GCM-SHA384

仅限 TLS 1.2。

RSA-RC4-128-SHA

默认情况下禁用。不建议使用 RC4。

以下是用于定义密码套件的缩写列表

  • 3DES:使用三重 DES 的密码套件
  • AES-128/256:使用具有 128/256 位密钥的 AES 的密码套件。
  • CBC:使用密码块链接作为分组密码模式的密码。
  • ECDHE:使用椭圆曲线 Diffie-Hellman (DH) 临时密钥交换的密码套件。
  • ECDSA:使用椭圆曲线数字签名算法进行身份验证的密码套件。
  • GCM:伽罗瓦/计数器模式用于对称密钥加密。
  • RC4:使用 RC4 的密码套件。
  • RSA:使用 RSA 的密码套件。
  • SHA、SHA256、SHA384:使用 SHA-1、SHA-256 或 SHA-384 的密码套件。
基于 ECDHE 的密码套件的曲线类型编辑

用于 ECDHE(椭圆曲线 Diffie-Hellman 临时密钥交换)的曲线类型列表。

APM Server 二进制文件

apm-server.ssl.curve_types

Fleet 管理

基于 ECDHE 的密码套件的曲线类型

用于验证客户端证书的根证书列表编辑

用于验证客户端证书的根证书列表。如果 certificate_authorities 为空或未设置,则使用主机系统的受信任证书颁发机构。如果设置了 certificate_authorities,则 client_authentication 将自动设置为 required。目前只有 RUM Agent 通过浏览器、Java Agent(请参阅 Agent 证书身份验证)和 Jaeger Agent 支持发送客户端证书。

APM Server 二进制文件

apm-server.ssl.certificate_authorities

Fleet 管理

不适用

客户端身份验证编辑

此项配置支持的客户端身份验证类型。有效选项为 noneoptionalrequired。默认值为 none。如果已指定 certificate_authorities,则此设置将自动更改为 required。只有当期望 Agent 提供客户端证书时,才需要配置此选项。目前只有 RUM Agent 通过浏览器、Java Agent(请参阅 Agent 证书身份验证)和 Jaeger Agent 支持发送客户端证书。

  • none - 禁用客户端身份验证。
  • optional - 当提供客户端证书时,服务器将对其进行验证。
  • required - 要求客户端提供有效的证书。

APM Server 二进制文件

apm-server.ssl.client_authentication

Fleet 管理

不适用