Problème déploiement client CMA

Bonjour,

De mon côté pour que cela fonctionne j’ai du configurer comme ceci :

ca_certificate = public_cert

je n’ai pas de “Token”

endpoint = ca_name:4317 ( j’ai mis le nom en entier : nomdns.domaine )

Je ne sais pas si cela peut vous aidez mais malgré ce que la documentation dit j’ai du copié la clé privée et la clé public sur le serveur cible et configuré les entré ca_name et public_cert qui point vers la clé public ainsi que private_key vers la clé privée.

Je ne sais pas si c’est très clair ?

Par rapport à votre configuration essayez déjà de remplir “ca_certificat” pour qu’il point vers le même fichier que “public_cert”

Pourriez vous me dire si ça change quelque chose ?

Je viens de modifier comme vous me l’avez indiqué mais cela ne change rien :

J’ai en plus le message suivant dans les logs client :

[2025-08-06 10:58:36.926] [centreon-monitoring-agent] [debug] [bireactor.cc:52] create client this=0x185f9662ed0 peer:chsysilsuper:4317
[2025-08-06 10:58:36.927] [centreon-monitoring-agent] [error] [bireactor.cc:100] 0x185f9662ed0 client peer:chsysilsuper:4317 fail read from stream
[2025-08-06 10:58:36.952] [centreon-monitoring-agent] [error] [bireactor.cc:150] 0x185f9662ed0 client peer chsysilsuper:4317 fail write to stream
[2025-08-06 10:58:36.952] [centreon-monitoring-agent] [debug] [bireactor.cc:200] 0x185f9662ed0 client::shutdown
[2025-08-06 10:58:36.952] [centreon-monitoring-agent] [error] [bireactor.cc:191] 0x185f9662ed0 peer:chsysilsuper:4317 client::OnDone(failed to connect to all addresses; last error: DEADLINE_EXCEEDED: ipv4:10.182.185.12:4317: Connection timed out) 
[2025-08-06 10:58:36.963] [centreon-monitoring-agent] [debug] [bireactor.cc:58] delete client this=0x185f9662ed0 peer:chsysilsuper:4317

Une autre piste : https://docs.centreon.com/fr/docs/administration/secure-platform/

Avez vous utilisé firewalld ?

De mon côté j’ai du ajouté le port 4317 tel que :

firewall-cmd --zone=public --add-port=4317/tcp --permanent

firewall-cmd --reload 

Merci pour votre aide, effectivement le firewalld n’avait pas été paramétré correctement…

Désormais j’ai bien les flux qui passent entre mon client et le serveur.

Merci encore (plusieurs jours que je m’arrache les cheveux...)

j’ai quand même des services qui ne remontent pas mais ce ne sont pas les plus important :

Aucun problème,

Normalement il devrait remonter après un petit moment ( c’était le cas pour moi )

Vous n’êtes pas le seul à vous être arracher les cheveux, j’y ai passé moi même un petit moment.

Préciser dans la documentation d’ouvrir le port serait bien je pense car nous n’avions pas besoin de ça avec nsclient et je pense que certaines personnes pourraient en bénéficier.

dans le mode “normal”, l’agent ne doit pas avoir de certificat comme expliqué ici

Centreon Monitoring Agent | Centreon Documentation

l’agent fait un “check” du CN, il ne doit pas y avoir de public_cert ou private_key, et la CA est optionnelle

(il ya le mode inversé ou le poller initie la connection a l’agent, mais d’apres les screenshot ce n’est pas ce mode utilisé)

il faut que le CN du certificat poller matche le “endpoint”. et il faut préciser quelle autorité (CA) a généré le certificat du poller. soit en le mettant dans la config en chemin, soit en l’installant dans le magasin “Ordinateur” du host.

(utiliser le certificat public en tant que CA c’est pour un “autosigné” . il est de bonne pratique d’utiliser une CA pour frabriquer un certificat, il y a une procédure pour faire cela  dans l’article sur comment “sécuriser la plateforme centreon”, un peu confuse, et mais installer une CA d’entreprise interne comme AD CA peut simplifier les choses pour avoir la CA déployée sur tous les magasin des serveurs windows, et faire un certificat serveur web pour le poller par exemple. cette CA interne par AD est optionnelle, créer une CA avec openssl et générer des certificats par cette CA reste tres facile à faire; premier lien google Create your own Certificate Authority (CA) using OpenSSL - arminreiter.com )

la documentation CMA n’est pas assez explicite sur ces histoire de “CA”, de “CN” et une procédure plus précise serait à fournir sur la création (l’idéal serait quand meme de faire comme les autres fournisseur d’agent et pas avoir a créer des certificat et que l’agent fasse tout seul son chiffrement par défaut si rien n’est fourni, je vais pas m’amuser a installer des certificat payants sur les poller, ou aller déployer chez mes client mon autorité CA interne pour la supervision… ralage de msp avec 200+ environnement client différent à gérer…)

​@nsetbon  sinon la l’erreur ne parle pas de chiffrement mais de “timeout”. quand il s’agit d’une erreur de certificat les message sont assez parlant et disent bien "cipher” “ssl”.

avant donc de partir dans la configuration SSL, déja est-ce que les choses communiquent?

est-ce que le poller écoute bien sur le port tcp 4317, pour tester depuis le host windows en powershell

      tnc chsysilsuper -p 4317

est ce que la connexion tcp répond “true”? si non :

à regarder coté poller si le port tcp est bien ouvert avec netstat

à vérifier le parefeu linux s'il ne bloque pas le port tcp4317 (pas ouvert par défaut)

aussi vérifier si un firewall windows bloquerait le flux sortant 

et si un firewall entre le host et le poller ne filtrerait pas ce port.

si oui, je n’ai pas encore trouver ou était les log “CMA” coté poller pour débugger plus. (mes soucis ont été des souci de FW, puis des soucis de certificat, et apres cela a fonctionné)

​@christophe.niel-ACT merci pour ces compléments. Désormais cela fonctionne pour moi car cela venait d’un problème de configuration côté poller qui n’avait pas les ouvertures nécessaire niveau firewall.

​@cybervi est-ce que vous avez réussis à ajouter un service centreon pour contrôler l’état de santé d’un service windows? J’ai essayé de m’appuyer sur la configuration des macros utilisées avec SNMP pour cibler un service ne particulier mais l’agent m’indique ne pas trouver le service.

Auriez-vous une astuce ? 

Aucune idée, je n’en ai pas encore eu besoin pour le moment.

il y a ces 2 check dans le connecteur

un qui remonte le statut global de tous les service automatiques et un qui permet de monitorer un service spécifique

Merci j’ai effectivement utilisé le second mais malgré le paramétrage il ne trouve pas le service (j’ai vérifié le nom du service) :

screenshot des propriétés du service sur le host ? (services.msc, double clic sur le mysql)

il faut le “nom systeme”, pas le nom d’affichage (normalement). 

exemple entre “service name” et “display name” au hasard :

peut être aussi sans le “^$” dans le filtre?

c’est compliqué de tester en mode “check passif” malheureusement et je n’ai pas essayé en détail ce check, je n’utilise que le “service-auto” qui me remonte tous les services qui sont en automatique et cela inclus les services que je considère important, (si ce n’est pas auto, c’est optionnel dans 99+% des cas, c’est le bestpractice MS et ce qui remonte sur le serveur manageur par défaut par exemple.)

et je n’utilise pas le CMA aujourd’hui, je l’ai testé mais je n’ai plus ma machine de test. 

bon courage pour tester.

edit : par contre j’ai regardé ma config pour template par défaut

j’ai cette macro “startauto” en haut, je ne sais pas si c’est une différence de version ou le résultat des upgrade que j’ai faite (centreon 24.10.8)

est-ce que le plugin coté “host” est à jour, et est-ce que le connecteur est à jour?

J’ai également le STARTAUTO, je l’ai mis sur “true” car ce service démarre en auto.

Le nom du service est le bon, en display name ou service name c’est le même Mysql80.

Par contre j’ai effectivement mis le REGEX car ils indiquent qu’il faut un REGEX, je vais essayer sans pour voir si cela change quelque chose.

J’essaye de passer en prod avec le CMA car actuellement nous monitorons en SNMP les serveurs et notre RSSI nous fait chier pour sécuriser notre supervision (il a pas forcément tord je l’avoue) et le CMA est vraiment génial de ce côté là.

Par contre j’avoue que le CMA a pas l’air encore super stable quand même, car même si tous mes services sont en vert, le host apparait quand même en rouge dans le dashboard, assez chiant du coup.

Il y a eu une release importante de 24.10 ce matin qui améliore la prise en charge de CMA (côté web et collect). Merci pour le feedback, on va reprendre ces threads pour améliorer la doc/le soft.

Malgré la MAJ faite à l’instant toujours des soucis d’interface web notamment dans les menus :

Je n’ai pas encore vérifier côté prise en charge CMA

Bonjour ​@nsetbon 

Serait-il possible de savoir

• Quel navigateur utilisez-vous ?
• Si vous avez des erreurs dans les logs navigateurs (bouton F12 en général) ? 
• En anglais vous avez bien les textes affichés ?
• Ou si possible de vérifier en navigation privée voir si le soucis est présent ?

Merci par avance,

• J’utilise Edge, testé avec Firefox c’est pareil
• voici les erreurs lorsque je fait un simple F5 sur la page “A propos” par exemple :

• en anglais j’ai bien les menus effectivement
• en privé et langue française, mêmes erreurs

Et concernant le check d’un service windows, la mise à jour n’a pas réglé le problème, il ne trouve toujours pas mon service ^MySQL80$

Ok, effectivement, c’est reproduit, les traductions sont absentes, nous allons traité cela dès que possible. Merci pour le feedback.