Warnung bei bald ablaufendem Zertifikat

german

#1

Hallo,

wir hatten gestern den Fall, dass ein Kundenserver von einem Moment auf den anderen, plötzlich nicht mehr benutzbar war.
Weder die Freigaben noch das Mailssystem waren funktionstüchtig.
Der Betrieb des Kunden stand also.

Wir konnten dann wohl relativ schnell das Problem finden, ein Stammzertifikat war abgelaufen.
Nach Neuerstellung desselben und Neustart der entsprechenden Dienste, ging also dann wieder alles.

Trotzdem wäre es natürlich in Zukunft bei allen unseren UCS-Systemen sinnvoll, wenn wir, bevor der Super-GAU eintritt, per E-mail informiert werden könnten, dass wir hier besser mal einschreiten.
Habt Ihr dazu eine Lösung in petto?

Danke
Sascha


#2

Hallo.

Mit nagios kann man die Gültigkeitsdauer von Zertifikaten überprüfen und ggfs warnen.
https://exchange.nagios.org/directory/Plugins/Network-Protocols/HTTP/check_ssl_certificate/details könnte helfen; wir haben das früher immer mit check_https gemacht iirc.

Grüße,
Christian


#3

Ich finde es immer hilfreich, wenn ich einen Dienst auch von Hand überprüfen kann und da hilft das Shellscript ssl-expiry-date von Steve Kemp:
raw.githubusercontent.com/skx/s … xpiry-date


#4

Hallo,

im Produkt gibt es bereits zwei Mechanismen genau dafür.

  1. Cron-Job und Anzeige in der UMC

Es gibt einen täglichen Cronjob, der die Zertifikate einliest, deren Gültigkeit überprüft und die passenden UCR-Variablen schreibt. Ab 30 Tagen vor Ablauf (vgl. UCR ssl/validity/warning) sollte dann eine Warnung in der UMC ausgeben werden.

  1. Nagios-Check

Wenn Nagios oder Icinga aus dem App Center verwendet werden, sollte UNIVENTION_SSL bereits mit dem Master/Backup verknüpft sein. Dieser Check prüft, wie lange das Host- bzw. Root-Zertifikat noch gültig ist. Die Ausgabe zeigt nur das Zertifikat an, das zuerst abläuft - geprüft werden aber beide. Standardmäßig wird ab 40 Tagen gewarnt, ab 20 Tagen wird “CRITICAL” ausgegeben.
Kommt eine andere Monitoring-Lösung zum Einsatz, sollte das mitgelieferte Plugin dort eingebunden werden:

/usr/lib/nagios/plugins/check_univention_ssl_certificate -w 40 -c 20

Schönen Gruß,
Michael Grandjean


#5

[quote]1. Cron-Job und Anzeige in der UMC

Es gibt einen täglichen Cronjob, der die Zertifikate einliest, deren Gültigkeit überprüft und die passenden UCR-Variablen schreibt. Ab 30 Tagen vor Ablauf (vgl. UCR ssl/validity/warning) sollte dann eine Warnung in der UMC ausgeben werden.[/quote]

Das hat auch funktioniert. leider meldet man sich aber nicht so oft in der UMC an…

Der Nagios Weg ist perfekt und funktioniert sehr gut!

Danke
Sascha