Вот полное пошаговое руководство по настройке мониторинга SSL-сертификатов с помощью инструмента с открытым исходным кодом Checkmk.
Неважно, управляете ли вы интернет-магазином, веб-сайтом компании или блогом о путешествиях: вы должны быть уверены, что веб-сайт безопасен для использования и посещения. Таким образом, HTTPS стал стандартом для всемирной паутины, и если ваш сайт не защищен, большинство браузеров заблокируют доступ к нему, и ваш SEO-рейтинг тоже пострадает. Поэтому важной задачей любого администратора веб-сервера является управление сертификатами SSL/TLS и их обновление до истечения срока их действия.
В этой статье мы хотим показать вам, как использовать Checkmk, инструмент мониторинга от племени 29, для мониторинга ваших сертификатов SSL/TLS. Checkmk следит за вашими сертификатами и сообщает вам, когда их следует заменить. Использование инструмента мониторинга намного надежнее, чем просто использование листов Excel или других механизмов, что позволяет вам сосредоточиться на других вещах.
Эта статья работает для любого веб-сайта и приложения веб-сервера. Доступ администратора к веб-серверу не требуется, поскольку мы используем активную проверку HTTPS. Вам нужно, чтобы сайт Checkmk работал и работал, а хост для сайта мониторинга нуждается в работающем подключении к Интернету.
В нашем примере мы используем Checkmk Free Edition версии 2.0.0.p20, но шаги такие же, как и для Checkmk Raw Edition, исходный код которого полностью открыт. Вы можете использовать оба издания полностью бесплатно. В качестве примера веб-сайта я использую «www.checkmk.com».
Шаг 1: Добавьте свой сайт в качестве хоста в Checkmk
- Откройте Checkmk и перейдите в « Настройка» -> «Хосты » и нажмите «Добавить хост».
- В качестве имени хоста добавьте веб-сайт, который вы хотите отслеживать. В моем примере «www.checkmk.com».
- Установите флажок «Агент Checkmk/интеграция API » и выберите «Без интеграции API, без агента».
- Нажмите «Сохранить» и перейдите к настройке службы.
Обнаружение службы на следующем экране не обнаружит никаких служб, поскольку нет агента или API, которые предоставляют данные. Поскольку вы не используете никаких агентов, Checkmk теперь будет просто пинговать ваш сайт. Вы создали один хост с одним сервисом.
Шаг 2: Добавьте проверку HTTPS на свой хост
Теперь вы будете использовать «check_http» для сканирования сертификата SSL/TLS для вашего веб-сайта.
- Нажмите еще раз на « Настройка» и найдите «http» в строке поиска.
- Вы должны найти сервис Check HTTP. Нажмите здесь.
Checkmk использует мониторинг на основе правил и теперь спросит вас, в какой папке вы хотите создать свое правило мониторинга. Вы можете оставить «Основной каталог» в разделе « Создать правило в папке» и нажать на эту кнопку.
- В разделе «Свойства правила» вы можете добавить детали, если хотите, но это не обязательно. Мы решили не добавлять описание и оставил это поле пустым.
- В разделе «Проверка службы HTTP» вам необходимо добавить уникальное имя службы. Мы выбрали «SSL.check».
- В настройках хоста поставьте галочку перед именем хоста/IP-адресом и добавьте свой сайт. В моем случае «www.checkmk.com».
- Установите флажок рядом с портом TCP, чтобы использовать порт для SSL/TLS. Порт по умолчанию — 443 (HTTPS), вы, конечно, можете настроить порт и другие детали в зависимости от вашей ИТ-среды.
- Адаптируйте режим проверки для проверки возраста SSL-сертификата и добавьте пороговые значения, когда Checkmk должен изменить статус службы с OK на Предупреждение и Критический. Мы использовали 14 и 7 дней. Пока не нажимайте Сохранить.
- В разделе «Условия» нажмите «Явные хосты» и привяжите это правило к хосту, отслеживающему ваш сайт. В нашем случае это «www.checkmk.com», потому что мы использовали его в качестве имени хоста на предыдущем шаге.
- Теперь нажмите Сохранить.
Если Checkmk может разрешить имя хоста через DNS, вам не нужно добавлять IP-адрес. Таким образом, мы всегда можем просто выбрать доменное имя. Если вы отслеживаете свой веб-сервер с помощью агента Checkmk, вы также можете прикрепить проверку HTTPS к хосту вашего веб-сервера в своем мониторинге. Кроме того, если вы управляете большой группой хостов, подход на основе правил очень эффективен, потому что вы можете не только прикреплять конфигурацию к определенным папкам, но также можете использовать теги и группы хостов, но это выходит за рамки данной статьи.
После нажатия на «Сохранить» вы должны увидеть только что созданное правило. Теперь вы должны принять изменения.
- Нажмите на поле «2 изменения» с желтым восклицательным знаком (!) в правом верхнем углу, чтобы просмотреть ожидающие изменения.
- Нажмите Активировать на выбранных сайтах.
И с этим вы теперь сделали. Перейдите в «Монитор» -> «Все хосты» и нажмите на хост своего веб-сайта. Вы должны увидеть один сервис. Если срок действия сертификата истечет через 14 дней, состояние изменится на WARN, а через 7 дней или меньше он станет красным и станет CRIT.
Следующий шаг: мониторинг веб-сервера за пределами SSL/TLS
В этой статье показано, как отслеживать сертификаты SSL/TLS с помощью Checkmk, используя активную проверку. Вы можете отслеживать не только дату, которая истечет. Проверка HTTPS может отслеживать время отклика относительно заданного порога, соответствие или несоответствие страницы ответа определенным строкам или регулярным выражениям, максимальный возраст страницы результатов и другие детали. Однако проверка не подтверждает цепочку доверия.
Хотя проверка сертификатов SSL/TLS является важной частью любого мониторинга веб-сервера, это гораздо больше, чем это руководство. Если вы хотите иметь целостный мониторинг веб-сервера и вашего веб-сайта, вы также можете сделать это с помощью Checkmk.