117笔记问答OpenSSL在Debian上的兼容性问题主要出现在新版本的OpenSSL软件包导致与其他软件的兼容性问题。例如,新版本的OpenSSL可能会导致NSClient++的check_nrpe插件在检查运行在Windows主机时失败。具体来说,错误信息可能包括“CHECK_NRPE: (ssl_err != 5) Error - Could not complete SSL handshake with xxx.xxx.xxx.xxx”和“sslv3 alert handshake failure: 1040”。
解决方案
-
生成新的DH密钥:
在新的Nagios服务器上生成DH密钥。可以使用以下命令:
openssl dhparam -C 2048 2> /dev/null | sed -n '/BEGIN/,/END/p'
上述命令将输出DH参数的示例,类似于以下内容:
----- 开始DH参数----- MIIBCAKCAQEAsT8ZYluOSVjB67zI8HXRzAjVRsBGLktGbUm7Zfhtn5dYTMaEjSRx+7McBGnmoJa9ty54UE/5/8rM1CFvA5VyEOakZHemTNvAofB40ZmEhgANVmbHZxtregvj4svxnvFM4gAfpsSe2C8DVbXXEJlUVfyacbfb4f9ko0l62XsTEQJGWGRxXca7b66g5MY6eYxihavufmZmZPw4ZnBPEpoGpH2GKZ0obOEfACTrV01p+CbiVDJ9lpc7KOxbXA+3nV5LRMSjlz83RuDdQ3QLcQQQ7cpWKEzAlHO/AO4BRqthmSBkTVWNeHoOa4PNgZO2xdnLHJuK75YQJeLAOKI9xVgaCwIBAg== ----- 结尾DH参数-----
-
将DH密钥粘贴到Windows服务器:
将生成的DH密钥粘贴到Windows服务器上的新文件“nrpe_dh_2048.pem”中,位置在
C:\Program Files\NSClient++\security\nrpe_dh_2048.pem。 -
更新NSClient++配置:
在Windows中(具有管理员权限的用户下)打开命令提示符,然后运行以下命令:
cd "\Program Files\NSClient++" nscp settings --path /settings/NRPE/server --key dh --set "${certificate-path}/nrpe_dh_2048.pem"或者在
C:\Program Files\NSClient++\nsclient.ini文件中添加以下内容:[settings/NRPE/server] DH KEY = ${certificate-path}/nrpe_dh_2048.pem -
重新启动NSClient++服务:
使用以下命令重新启动NSClient++服务:
net stop nscp && net start nscp
-
测试连接:
使用以下命令测试连接:
/usr/local/nagios/libexec/check_nrpe -H xxx.xxx.xxx.xxx -2
通过以上步骤,可以解决OpenSSL在Debian上导致的一些兼容性问题。如果问题仍然存在,建议检查系统日志和软件包的版本,确保所有相关的软件包都是最新的,并且与OpenSSL兼容。