Nagios SSL Certificate warning

german

#1

Moinmoin

seit heute morgen, bekommen wir auf unserm UCS Masterserver eine Nagios Warnung bzgl. des bald ablaufenden SSL Zertifikats.

[code]***** Nagios *****
Notification Type: PROBLEM

Service: UNIVENTION_SSL
Host: Host ucs-masterserver.tld
State: WARNING for 0d 9h 10m 5s
Address: xxx.xxx.xxx.xxx

Info:

WARNING: SSL Root CA certificate expires in 40 days (warn@40 - crit@20)
[/code]

Verwunderlich erscheint aber, das das Zertifikat noch bis 2015 gültig ist.

Validity Not Before: Mar 4 12:15:33 2010 GMT Not After: Mar 3 12:15:33 2015 GMT
Wie ist diese Warnmeldung dann zu interpretieren? Kann es sein, das ein anderes System in der UCS Domäne ein ablaufendes Zertifikat hat, und es deshalb zu der Warnung kommt?

lg
Sebastian


#2

Hallo,

die Nagios Warnung gibt an dass das Root-Zertifikat in kürze abläuft. Die Laufzeit der Rechner-Zertifikate (welche z.B. mit “univention-certificate dump -name $HOSTNAME” ausgegeben werden) können sich von der Laufzeit des Root-Zertifikats unterscheiden.

Um den Güpltigkeitszeitraum des Root-Zertifikats aufgeben zu lassen, können Sie den folgenden Befehl verwenden:

openssl x509 -in /etc/univention/ssl/ucsCA/CAcert.pem -noout -text | grep -A2 Validity

Wie das Root-Zertfikat neu erzeugt werden kann, ist im Artikel Erneuern der kompletten SSL-Zertifikatskette unserer Supportdatenbank beschrieben.
Bitte beachten Sie bei dieser Gelegenheit dass in UCS Versionen vor UCS 2.3 standarmäßig das Hashverfahren md5 für die SSL-Zertifikate verwendet wurde. Um das Hashverfahren mit dem neu erzeugen der SSL-Zertifikatsgette auf den neuen Standard “sha1” zu ändern, prüfen Sie bitte auch den Artikel SSL-Hashverfahren nachträglich ändern unserer Supportdatenbank.

Mit freundlichen Grüßen
Janis Meybohm