SSL ja sertifikaatide aegumine.

SSL sertifikaadid on üheaegselt nii õnnistus kui needus. Serdinduse peamine eesmärk on tagada kliendi-serveri vahelise liikluse autentsus, terviklikus või/ja  salajasus. Ehk kaitsta meid või informatsiooni. Teisalt on nad lisakoormus serverile (lisandunud sisu krüptimine võib omajagu tõsta protsessori kasutust) ja administraatorile.

Kuidas ?

SSL sertifikaatidel on omadus aeguda. Aegunud sert = mittekasutatav sert. Kui Sinu serdid on välja antud mõne korraliku firma poolt – siis suure tõenäosusega nad teavitavad mõne aja ette, et kallis inimene, see veebiserveri sert nimega www.minudomeen.eu aegub 10 päeva päras, kas Sa soovid uuendada (loomulikult hoolivad nad kliendist, nad ju soovivad uut makset)? Kodukootud, kas sisemise sisemise PKI infra või ise signeeritud serdi puhul sellist teavitust Sulle keegi ei saada.  Ja pealegi võib teavitus tulla valele inimesele, sattuda rämpsu või  tähelepanuta jääda. Ja Voilaa – meil on probleem.

SCOM’i pole kaasasolevate halduspakettide abil panna otseselt sertide aegumist jälgima. On mõningad variandid:

  • kirjutada vbs/powershell skripte, mis serte kontrollivad.
  • Kui rakendus kirjutab serdi aegumise kohta teate Eventlogi jälgida vastvate sündmuste teket
  • mõningad rakenduse halduspaketid sisaldavad loogikat rakenduse poolt kasutatavate sertide jälgimiseks. Kuid need pole paraku eriti paindlikud ja vastva monitori olemasolu  on pigem juhuslik.

Siiani parim lahendus on Raphael Burri poolt arendatud PKI Certificate Verification MP. Tasuta.

Lisaks sertifikaatide aegumisele tuvastatakse ka teisi olukordi, mille tagajärjel on sertifikaat kehtetuks muutunud (revoked, CA chain broken, CRL invalild).

Paraku on ka siinjuures piirang – agendita SSL sertifikaadi kontrolli ei toetata. Ehk – sa ei saa selle MP abil kuidagi kontrollida mõne avaliku https veebilehe serdi kehtivust. (kui Sa just seda serverit ei adminni ja kui see just Windows pole). Või ka lihtsalt IISi küljes oleva serdi kehtivust üle https päringu.

Nagu halduspakettide importimisel ikka   – loe läbi dokumentatsioon, veelkord, katseta testkeskkonnas ja kui sobib tee vajalikud muudatused ja kasuta enda päriskeskkonnas.

image

Peale MP importimist tekib Sul Monitoring puusse kenasti alamharu, kuid vaikimisi on sertifikaatide avastamine välja lülitatud. Mida, kus ja kuidas jälgida ja alerte genereerida – seda pead juba defineerima alistuspaketis. Ja selle paki suunad siis kas grupile või objektidele.

Kaasas olev dokumentatsioon on väga hea ja seda tasub mõttega lugeda.

Üheks MP kasulikuks küljeks võib arvestada veel nüansi, et hinnatakse kõiki (millede avastamine on lubatud) serte. Kui süsteemis on sert, mis on kehtetu ja pole otseselt kusagil kasutusel, siis see kuvatakse. Mõistlik on taolised serdid eemaldada, kuid siin on teatud piirangud, mis on dokumentatsioonis kenasti kirjeldatud.

Keywords: SSL Certificates, SCOM, monitoring

Advertisements

Halduspaketid – Management Packs

image    Kes on varem juurutanud ja kasutanud MS System Center Operations Manageri ( ükskõik kas MOM 2000/2005 või SCOM 2007/R2) teab, et väga palju funktsionaalsust tuleb tegelikult halduspakettidega (Viitame neile edasipidi inglisekeelse lühendiga MP). Värskelt installeeritud OM on nagu keskkond, mida Sa hakkad vastvalt oma keskkonnale ja vajadusetele MP’dega täiendama. Aga STOP!

Alljärgnevalt mõned soovitused MP’de rägastikus toimetulekuks:

  1. Enamuse MS toodete jaoks on olemas MS poolt toodetud MP’d.
  2. Paljude 3’nda partei firmade toodete jaoks on olemas kas nende endi, kogukonna või mõne haldustarkvara tootva firma (Quest näiteks) poolt tehtud tasuta või tasuline MP.
  3. Idee järgi peaks MP’sid leidma MS Pinpoint nimelisest veebikataloogist, kuid mõnevõrra mugavam on vana (küll aeguva infoga) SCOM kataloog. Või kasuta lihtsalt veebiotsingut.
  4. Jälgi Twitteri kanalit #MPReleases , uuematest MP’dest lubati seal maha hõigata.
  5. Veendu, et soovitud MP sobib kokku Sinu OM ja toote versiooniga.
  6. Loe läbi MP’ga kaasasolev dokumentatsioon ja talita ennetavalt nõuete järgi. Selleks laadi alla terve MP tootja lehelt. OM konsoolist Add from Catalog POLE alati hea lahendus. Sel juhul laaditakse ainult MP failid ja dokumentatsiooni Sa EI saa.
  7. Tee alati iga paigaldatud MP jaoks alistuspakett (Override Pack). Sellega saad oma kohandused sinna salvestada. Ära salvesta kohandusi Default Management Pack’i.
  8. Mõistlik on MP importida arenduskeskkonnas, teha ja häälestada alistuspakett sobivaks, eksportida alistuspakett ja importida siis mõlemid tootmiskeskkonda.
  9. Pitseeritud (Sealed) MP’d on staatilised, kõik Sinu tehtud kohandused ja teadmusbaas salvestatakse pitseerimata (Unsealed) MP’desse. Oluline on neist varukoopiaid teha.