› › › ›

SSL/TLS 输入设置

SSL/TLS 输入设置编辑

这些设置适用于 APM 服务器和 APM 代理之间的 SSL/TLS 通信。请参阅APM 代理 TLS 通信以了解更多信息。

在 APM 集成设置中启用 TLS，并使用SSL/TLS 输入设置来设置服务器证书和密钥的路径。

以下是一个启用了安全通信的基本 APM 服务器 SSL 配置。这将使 APM 服务器提供 HTTPS 请求而不是 HTTP。

apm-server.ssl.enabled: true
apm-server.ssl.certificate: "/path/to/apm-server.crt"
apm-server.ssl.key: "/path/to/apm-server.key"

有关配置选项的完整列表，请参阅SSL/TLS 输入设置。

如果 APM 代理使用无法通过已知 CA 进行身份验证的证书进行身份验证（例如自签名证书），请使用ssl.certificate_authorities设置自定义 CA。这将自动修改ssl.client_authentication配置以要求身份验证。

启用 TLS编辑

启用或禁用 TLS。默认情况下禁用。

APM 服务器二进制文件	`apm-server.ssl.enabled`
Fleet 托管	`启用 TLS`

服务器证书的文件路径编辑

包含用于服务器身份验证的证书的文件的路径。如果启用了 TLS，则为必填项。

APM 服务器二进制文件	`apm-server.ssl.certificate`
Fleet 托管	`服务器证书的文件路径`

服务器证书密钥的文件路径编辑

包含服务器证书密钥的文件的路径。如果启用了 TLS，则为必填项。

APM 服务器二进制文件	`apm-server.ssl.key`
Fleet 托管	`服务器证书密钥的文件路径`

密钥密码编辑

用于解密存储在已配置的apm-server.ssl.key文件中的加密密钥的密码。

APM 服务器二进制文件	`apm-server.ssl.key_passphrase`
Fleet 托管	不适用

支持的协议版本编辑

此设置是允许的协议版本列表：SSLv3、TLSv1.0、TLSv1.1、TLSv1.2和TLSv1.3。我们不建议使用SSLv3或TLSv1.0。默认值为[TLSv1.1, TLSv1.2, TLSv1.3]。

APM 服务器二进制文件	`apm-server.ssl.supported_protocols`
Fleet 托管	`支持的协议版本`

TLS 连接的密码套件编辑

要使用的密码套件列表。第一个条目的优先级最高。如果省略此选项，则使用 Go 加密库的默认套件（推荐）。请注意，TLS 1.3 密码套件在 Go 中不可单独配置，因此未包含在此列表中。

APM 服务器二进制文件	`apm-server.ssl.cipher_suites`
Fleet 托管	`TLS 连接的密码套件`

以下密码套件可用

密码	备注
ECDHE-ECDSA-AES-128-CBC-SHA
ECDHE-ECDSA-AES-128-CBC-SHA256	仅限 TLS 1.2。默认情况下禁用。
ECDHE-ECDSA-AES-128-GCM-SHA256	仅限 TLS 1.2。
ECDHE-ECDSA-AES-256-CBC-SHA
ECDHE-ECDSA-AES-256-GCM-SHA384	仅限 TLS 1.2。
ECDHE-ECDSA-CHACHA20-POLY1305	仅限 TLS 1.2。
ECDHE-ECDSA-RC4-128-SHA	默认情况下禁用。不建议使用 RC4。
ECDHE-RSA-3DES-CBC3-SHA
ECDHE-RSA-AES-128-CBC-SHA
ECDHE-RSA-AES-128-CBC-SHA256	仅限 TLS 1.2。默认情况下禁用。
ECDHE-RSA-AES-128-GCM-SHA256	仅限 TLS 1.2。
ECDHE-RSA-AES-256-CBC-SHA
ECDHE-RSA-AES-256-GCM-SHA384	仅限 TLS 1.2。
ECDHE-RSA-CHACHA20-POLY1205	仅限 TLS 1.2。
ECDHE-RSA-RC4-128-SHA	默认情况下禁用。不建议使用 RC4。
RSA-3DES-CBC3-SHA
RSA-AES-128-CBC-SHA
RSA-AES-128-CBC-SHA256	仅限 TLS 1.2。默认情况下禁用。
RSA-AES-128-GCM-SHA256	仅限 TLS 1.2。
RSA-AES-256-CBC-SHA
RSA-AES-256-GCM-SHA384	仅限 TLS 1.2。
RSA-RC4-128-SHA	默认情况下禁用。不建议使用 RC4。

以下是定义密码套件时使用的首字母缩略词列表

3DES：使用三重 DES 的密码套件
AES-128/256：使用 AES 和 128/256 位密钥的密码套件。
CBC：使用密码块链接作为块密码模式的密码。
ECDHE：使用椭圆曲线 Diffie-Hellman (DH) 临时密钥交换的密码套件。
ECDSA：使用椭圆曲线数字签名算法进行身份验证的密码套件。
GCM：伽罗瓦/计数器模式用于对称密钥加密。
RC4：使用 RC4 的密码套件。
RSA：使用 RSA 的密码套件。
SHA、SHA256、SHA384：使用 SHA-1、SHA-256 或 SHA-384 的密码套件。

基于 ECDHE 的密码套件的曲线类型编辑

ECDHE（椭圆曲线 Diffie-Hellman 临时密钥交换）的曲线类型列表。

APM 服务器二进制文件	`apm-server.ssl.curve_types`
Fleet 托管	`基于 ECDHE 的密码套件的曲线类型`

用于验证客户端证书的根证书列表编辑

用于验证客户端证书的根证书列表。如果certificate_authorities为空或未设置，则使用主机系统的受信任证书颁发机构。如果设置了certificate_authorities，则client_authentication将自动设置为required。目前，只有通过浏览器的 RUM 代理、Java 代理（请参阅代理证书身份验证）和 Jaeger 代理支持发送客户端证书。

APM 服务器二进制文件	`apm-server.ssl.certificate_authorities`
Fleet 托管	不适用

客户端身份验证编辑

这将配置支持哪些类型的客户端身份验证。有效选项为none、optional和required。默认值为none。如果已指定certificate_authorities，则此设置将自动更改为required。仅当预期代理提供客户端证书时才需要配置此选项。目前，只有通过浏览器的 RUM 代理、Java 代理（请参阅代理证书身份验证）和 Jaeger 代理支持发送客户端证书。

none - 禁用客户端身份验证。
optional - 当给出客户端证书时，服务器将对其进行验证。
required - 要求客户端提供有效的证书。

APM 服务器二进制文件	`apm-server.ssl.client_authentication`
Fleet 托管	不适用

« SSL/TLS 输出设置基于尾部的采样 »