09_SSL_Agent
Les 3 modes de sécurité NRPE
Mode 1 — SSL intégré (par défaut) → Pas besoin de certificat
use_ssl=1active un chiffrement OpenSSL interne.- Aucun certificat n’est installé sur le client.
- C’est simple, rapide, et déjà bien plus sécurisé que du NRPE en clair.
Mode 2 — SSL + clé + certificat auto-signé → Certificat à installer sur le client
Ici tu génères :
- une clé privée serveur
- un certificat serveur
- un certificat client
- un CA (autorité) pour signer les deux
Ensuite :
- tu mets le certificat client + clé client sur chaque machine NRPE
- tu mets le certificat serveur sur le serveur Nagios
- tu mets le CA sur les deux
Mode 3 — SSL + certificats signés par une vraie CA (interne ou publique)
Même principe que le mode 2, mais :
- tu utilises une PKI interne (Active Directory Certificate Services, OpenSSL CA, Hashicorp Vault, etc.)
- ou une CA publique (rare pour NRPE)
Si tu veux une vraie authentification mutuelle (client ↔ serveur)
tu dois installer :
- le certificat client
- la clé privée client
- le certificat CA
sur chaque machine NRPE.
Exemple : NRPE avec certificats personnalisés
Générer une CA (server)
openssl genrsa -out ca.key 4096
openssl req -x509 -new -nodes -key ca.key -sha256 -days 3650 -out ca.crt
Générer certificat serveur (pour Nagios)
openssl genrsa -out server.key 4096
openssl req -new -key server.key -out server.csr
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 1825 -sha256
Générer certificat client (pour chaque agent NRPE)
openssl genrsa -out client.key 4096
openssl req -new -key client.key -out client.csr
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 1825 -sha256
Installer sur le client NRPE
Copier :
client.keyclient.crtca.crt
Dans /etc/nagios/ssl/ par exemple.
Configurer NRPE :
use_ssl=1
ssl_client_cert_file=/etc/nagios/ssl/client.crt
ssl_client_key_file=/etc/nagios/ssl/client.key
ssl_cacert_file=/etc/nagios/ssl/ca.crt
Redémarrer :
systemctl restart nrpe