[PPNL-Techteam] Certificaten monitorren

[Tom Albers]

Hoi,

Hier wat uitleg hoe we een dagelijkse controle kunnen doen op de certificaten. Niet alleen de geldigheid van de certificaten wordt gecontroleerd, maar ook de expiratiedatum wordt in de gaten gehouden. Een stappenplan:

1. Download http://prefetch.net/code/ssl-cert-check
2. Installeer deze in /root/bin of /usr/local/bin.
3. Maak een bestand aan genaamd certs.txt (/etc/ bijvoorbeeld). Zet hierin alle hosts die je wilt controleren. Ik zou met zijn allen afspreken dat zodra iemand ssl/https/tls whatever activeert hij verplicht is het ook in dit bestand op te nemen. Het formaat is de hostname gevolgd door een spatie gevolgd door de poort. Bijvoorbeeld als volgt:
---
mail.pp.nl 110
mail.pp.nl 143
accounts.pp.nl 443
etc.
---

4. test of het werkt via:
 /root/bin/ssl-cert-check -f /etc/certs.txt

5. Daarna kun je een cron aanmaken:
30 9 * * * /bin/bash /root/bin/ssl-cert-check -f /etc/certs.txt -q -x 20 -a -e techteam at lists.piratenpartij.nl

Dit controleert iedere ochtend of de certificaten geldig zijn. Als alles goed is, dan gebeurt er niets (-q), als het certificaat binnen 20 dagen verloopt (-x 20) dan wordt er een mail gestuurd (-a) naar het emailadres zoals opgegeven (-e techteam at lists.pp.nl)

Zeer eenvoudig, erg effectief.

Met vriendelijke groet,

Tom Albers