SSL ja sertifikaatide aegumine.

SSL sertifikaadid on üheaegselt nii õnnistus kui needus. Serdinduse peamine eesmärk on tagada kliendi-serveri vahelise liikluse autentsus, terviklikus või/ja  salajasus. Ehk kaitsta meid või informatsiooni. Teisalt on nad lisakoormus serverile (lisandunud sisu krüptimine võib omajagu tõsta protsessori kasutust) ja administraatorile.

Kuidas ?

SSL sertifikaatidel on omadus aeguda. Aegunud sert = mittekasutatav sert. Kui Sinu serdid on välja antud mõne korraliku firma poolt – siis suure tõenäosusega nad teavitavad mõne aja ette, et kallis inimene, see veebiserveri sert nimega www.minudomeen.eu aegub 10 päeva päras, kas Sa soovid uuendada (loomulikult hoolivad nad kliendist, nad ju soovivad uut makset)? Kodukootud, kas sisemise sisemise PKI infra või ise signeeritud serdi puhul sellist teavitust Sulle keegi ei saada.  Ja pealegi võib teavitus tulla valele inimesele, sattuda rämpsu või  tähelepanuta jääda. Ja Voilaa – meil on probleem.

SCOM’i pole kaasasolevate halduspakettide abil panna otseselt sertide aegumist jälgima. On mõningad variandid:

  • kirjutada vbs/powershell skripte, mis serte kontrollivad.
  • Kui rakendus kirjutab serdi aegumise kohta teate Eventlogi jälgida vastvate sündmuste teket
  • mõningad rakenduse halduspaketid sisaldavad loogikat rakenduse poolt kasutatavate sertide jälgimiseks. Kuid need pole paraku eriti paindlikud ja vastva monitori olemasolu  on pigem juhuslik.

Siiani parim lahendus on Raphael Burri poolt arendatud PKI Certificate Verification MP. Tasuta.

Lisaks sertifikaatide aegumisele tuvastatakse ka teisi olukordi, mille tagajärjel on sertifikaat kehtetuks muutunud (revoked, CA chain broken, CRL invalild).

Paraku on ka siinjuures piirang – agendita SSL sertifikaadi kontrolli ei toetata. Ehk – sa ei saa selle MP abil kuidagi kontrollida mõne avaliku https veebilehe serdi kehtivust. (kui Sa just seda serverit ei adminni ja kui see just Windows pole). Või ka lihtsalt IISi küljes oleva serdi kehtivust üle https päringu.

Nagu halduspakettide importimisel ikka   – loe läbi dokumentatsioon, veelkord, katseta testkeskkonnas ja kui sobib tee vajalikud muudatused ja kasuta enda päriskeskkonnas.

image

Peale MP importimist tekib Sul Monitoring puusse kenasti alamharu, kuid vaikimisi on sertifikaatide avastamine välja lülitatud. Mida, kus ja kuidas jälgida ja alerte genereerida – seda pead juba defineerima alistuspaketis. Ja selle paki suunad siis kas grupile või objektidele.

Kaasas olev dokumentatsioon on väga hea ja seda tasub mõttega lugeda.

Üheks MP kasulikuks küljeks võib arvestada veel nüansi, et hinnatakse kõiki (millede avastamine on lubatud) serte. Kui süsteemis on sert, mis on kehtetu ja pole otseselt kusagil kasutusel, siis see kuvatakse. Mõistlik on taolised serdid eemaldada, kuid siin on teatud piirangud, mis on dokumentatsioonis kenasti kirjeldatud.

Keywords: SSL Certificates, SCOM, monitoring