关于 Hyperic HQ 的 SSL 链接配置

Hyperic 支持 server-agent 和 agent-server的双向 SSL通讯。采用SSL是最佳实践。

Server-agent 通讯一般采用 SSL. Agent-Server的通讯能够配置为SSL。

若是产品插件支持SSL，Hyperic Agent就可在SSL上管理这些产品。

当Hyperic Server和 Hyperic Agent 基于SSL通讯时，每一个组件都会验证其余SSL证书的有效性。

Hyperic 证书处理

在安装完成后，当Hyperic Agent第一次向Hyperic Server发起链接时，HQ Server向 HQ Agent出示其SSL证书，若是Agent信任此证书，那么Agent将把该证书导入到本身的 Keystore。

Hyperic Agent信任某个Server证书的条件是：

■ 若是该证书已经在Agent的Keystore中存在；

■若是该证书具备与Agent证书相同的CA；

默认状况下，若是Agent不信任Server出示的证书，Agent将发出警告。用户能够中断配置过程，而后设置SSL. Hyperic Server和Hyperic Agent不会导入不信任的证书，除非用户在提示警告时回答Yes。

固然，用户也能够配置组件自动接受不信任的证书，而不提示警告。考虑到安全性，很是不建议这种作法。可查看  agent.setup.acceptUnverifiedCertificate (在文件AgentHome/conf/agent.properties中) 和 accept.unverified.certificates（在文件 ServerHome/conf/hq-server.conf中）的属性值。

Hyperic Server 和 SSL

若是用户正在使用标准的Hyepric setup.sh 或 setup.bat 安装程序，用户能够在安装Hyperic Server的以前安装 Hyperic Server的keystore/

若是用户在安装Hyperic Server时没有配置使用已有的keystore， 而且也没有提供其位置和口令，那么Hyepric 安装程序将建立一个自签名证书的keystore，名称是 hyperic.keystore, 存放在 ServerHome/conf 目录下，口令是 hyperic.当与Hyperic Agent链接时，将出示该证书。

Hyepric Agent和SSL

为了在 Agent-Server通讯中使用SSL，用户应在第一次启动Agent前安装Hyperic agent的 keysotre。若是使用hyperic生成的keystore, 用户应须要为每一个生成的keystore更新口令。

配置 Hyperic Agent- Server的 SSL 通讯

用户能够为Hyperic Agent配置使用SSL与Hyperic Server通讯。

必须为每个Hyperic Agent配置SSL

条件

■在初始启动Agent前，应验证Hyperic Agent的keystore已经安装好。每一个Agent必须有本身的keystore.

■验证Hyperic Server和每一个Hyperic Agent都有SSL证书

■验证Hyperic Server在其主机上有一个 JKS格式的keystore，而且已经导入其SSL证书。

■注意当以全模式运行Hyperic 安装程序时，安装程序提示输入全路径的JKS格式的keystore和口令。

过程

1，设置 Hyperic Agent的keystore。

2，导入Agent的ssl 证书。

3，在 Agent的agent.properties 文件中，指定下面属性的值.

agent.keystore.path： 指定Agent keystore的位置；

agent.keystore.password：指定该agent keystore的口令；

Hyperic Agent的keystore的口令必须与私有密钥的口令相同。

4（可选）若是配置的是单向通讯，应在agent.keystore.alias属性中指定keystore的名字。

5，保存配置文件，而后重启Agent.

Hyperic 中文免费下载地址 http://www.innovatedigital.com/download/hyperic_index.asp