Non importa se gestisci un negozio online, un sito Web aziendale o un blog di viaggio:devi avere fiducia che un sito Web sia sicuro da usare e visitare. Pertanto, HTTPS è diventato uno standard per il World Wide Web e se il tuo sito Web non è sicuro, la maggior parte dei browser ne bloccherà l'accesso e anche il tuo posizionamento SEO ne risentirà. Un compito importante per qualsiasi amministratore di server web è quindi gestire i certificati SSL/TLS e aggiornarli prima che scadano.
In questo tutorial, voglio mostrarti come utilizzare Checkmk, lo strumento di monitoraggio di tribe29, per monitorare i tuoi certificati SSL/TLS. Checkmk tiene d'occhio i tuoi certificati e ti fa sapere quando dovresti sostituirli. L'utilizzo di uno strumento di monitoraggio è molto più affidabile rispetto al semplice utilizzo di fogli Excel o altri meccanismi, consentendoti di concentrarti su altre cose.
Questo tutorial funziona per qualsiasi tipo di sito Web e applicazione del server Web. Non è richiesto l'accesso come amministratore al server Web, perché sto utilizzando un controllo HTTPS attivo. Hai bisogno di un sito Checkmk attivo e funzionante e l'host per il sito di monitoraggio necessita di una connessione Internet funzionante. Puoi seguire questo tutorial su come iniziare a utilizzare Checkmk .
Nel mio esempio sto usando Checkmk Free Edition versione 2.0.0.p20 , ma i passaggi sono gli stessi per Checkmk Raw Edition, che è completamente open source. Puoi utilizzare entrambe le edizioni completamente a costo zero. Come esempio di sito Web, sto utilizzando "www.checkmk.com".
Passaggio 1:aggiungi il tuo sito web come host in Checkmk
- Apri Checkmk e vai su Configurazione -> Host e fai clic su "Aggiungi host".
- Come Nome host, aggiungi il sito web che desideri monitorare. Nel mio esempio, "www.checkmk.com".
- Seleziona la casella in Integrazioni agente Checkmk/API e passa a "Nessuna integrazione API, nessun agente".
- Fai clic su Salva e vai alla configurazione del servizio .
Il rilevamento del servizio nella schermata seguente non rileverà alcun servizio, poiché non esiste un agente o un'API che fornisce dati. Poiché non stai utilizzando alcun agente, Checkmk ora eseguirà solo il ping del tuo sito web. Hai creato un host con un servizio.
Passaggio 2:aggiungi il controllo HTTPS al tuo host
Ora utilizzerai "check_http" per scansionare il certificato SSL/TLS per il tuo sito web.
- Fai nuovamente clic su Configurazione, e cerca "http" nella barra di ricerca.
- Dovresti trovare il servizio di verifica HTTP . Cliccaci sopra.
Checkmk utilizza il monitoraggio basato su regole e ora ti chiederà in quale cartella desideri creare la regola di monitoraggio. Puoi lasciare la "Directory principale" in Crea regola nella cartella e fai clic su quel pulsante.
- In Proprietà delle regole , puoi aggiungere dettagli se vuoi, ma questo non è un must. Ho deciso di non aggiungere una descrizione e ho lasciato quest'area vuota.
- In Verifica servizio HTTP, è necessario aggiungere un nome di servizio univoco. Ho scelto "SSL.check".
- In Impostazioni host spuntare la casella prima di Nome host/Indirizzo IP e aggiungi il tuo sito web. Nel mio caso "www.checkmk.com".
- Spunta la casella su Porta TCP per utilizzare la porta per SSL/TLS. La porta predefinita è 443 (HTTPS), ovviamente puoi personalizzare la porta e altri dettagli a seconda del tuo ambiente IT.
- Adegua Modalità di verifica a Controlla l'età del certificato SSL e aggiungi le soglie per quando Checkmk dovrebbe modificare lo stato del servizio da OK a Avviso e Critico. Ho usato 14 e 7 giorni. Non fare clic su Salva ancora.
- In Condizioni fai clic su Host espliciti e lega questa regola all'host che monitora il tuo sito web. Nel mio caso è "www.checkmk.com", perché l'ho usato come nome host nel passaggio precedente.
- Ora fai clic su Salva .
Se Checkmk può risolvere un nome host tramite DNS, non è necessario aggiungere l'indirizzo IP. Quindi, posso sempre semplicemente scegliere il nome di dominio. Se stai monitorando il tuo server web con l'agente Checkmk, puoi anche allegare il controllo HTTPS all'host del tuo server web nel tuo monitoraggio. Inoltre, se gestisci un gruppo più ampio di host, l'approccio basato su regole è molto potente, perché non solo puoi allegare una configurazione a cartelle specifiche, ma puoi anche utilizzare tag e gruppi di host, ma questo va oltre lo scopo di questo esercitazione.
Dopo aver cliccato su Salva , dovresti vedere la regola che hai appena creato. Ora devi accettare le modifiche.
- Fai clic sul campo che mostra "2 modifiche" con il punto esclamativo giallo (!) nell'angolo in alto a destra per vedere le modifiche in sospeso.
- Fai clic su Attiva sui siti selezionati .
E con questo ora hai finito. Vai a Monitoraggio -> Tutto host e fai clic sull'host del tuo sito web. Dovresti vedere un servizio. Nel mio esempio, il certificato sembra buono e l'host è OK. Se il certificato scade in 14 giorni, lo stato passerà a WARN e in 7 giorni o meno diventerà rosso e diventerà CRIT.
Passaggio successivo:monitoraggio del server Web oltre SSL/TLS
Questo tutorial ti ha mostrato come monitorare i certificati SSL/TLS con Checkmk utilizzando un controllo attivo. Puoi monitorare più di una semplice data che sta per scadere. Il controllo HTTPS può tenere traccia dei tempi di risposta rispetto a una determinata soglia, la pagina di risposta per la corrispondenza o meno di determinate stringhe o espressioni regolari, l'età massima di una pagina dei risultati e altri dettagli. Tuttavia, il controllo non convalida la catena di fiducia.
Sebbene il controllo dei certificati SSL/TLS sia una parte essenziale di qualsiasi monitoraggio del server Web, c'è molto di più di questo tutorial. Se vuoi avere un monitoraggio olistico di un server web e del tuo sito web, puoi farlo anche con Checkmk. Puoi seguire questo blog su come impostare un monitoraggio di un server web . Spiega come monitorare tutti gli aspetti necessari per l'hosting di un sito Web:l'applicazione del server Web, i database, l'hardware del server, il sistema operativo e, naturalmente, i certificati.
Informazioni sull'autore:Thomas Wittmann, consulente IT di tribe29.