Мониторинг SSL-сертификатов
Обзор
Расширение SSL Certificate Monitor можно развернуть на АктивномШлюзе или на любом хосте с установленным ЕдинымАгентом.
Оба типа развертываний имеют настраиваемые интервалы оповещений, что позволяет выявлять проблемы низкой степени серьезности для сертификатов в определяемом пользователем окне продления, а также оповещения высокой степени серьезности при скором приближении даты истечения срока действия.
При развертывании на АктивномШлюзе расширение можно настроить для выполнения проверок сертификатов, указав определенные домены для проверки.
При развертывании на ЕдиномАгенте расширение попытается автоматически обнаружить сертификат, используя данные, предоставленные ЕдиномуАгенту.
Поддерживаемая версия кластера для запуска расширения > 1.272
Начало
Мониторинг удаленно
Целью развертывания удаленного мониторинга является включение мониторинга сертификатов по URL-адресу. Этот тип мониторинга требует, чтобы АктивныйШлюз, на котором работает расширение, имел доступ к предоставленным URL-адресам. Могут потребоваться корректировки правил сети и брандмауэра. При выборе этой модели развертывания обнаружение сертификатов отключается, и для включения мониторинга сертификатов необходимо предоставить список URL-адресов.
Выберите « Удаленный мониторинг без ЕдиногоАнента», чтобы выбрать этот тип установки, и выберите группу АктивногоШлюза, в которой вы хотите, чтобы расширение запускалось.
Мониторинг локально
Для автоматического обнаружения сертификатов с помощью ЕдиногоАгента требуется локальный мониторинг. Расширение будет установлено на выбранных хостах. В настоящее время хосты можно выбирать по имени, группе хостов, зоне управления или тегу (с помощью конфигурации среды ).
После выбора варианта развертывания приступайте к настройке расширения.
Подробности
Конфигурация
общие настройки
Срок действия сертификата неизбежен: самый высокий уровень оповещения, указывающий на то, что срок действия сертификата приближается. Превышение этого порога вызывает проблему серьезности AVAILABILITY. Сертификаты с истекшим сроком действия также будут выдаваться на этом уровне оповещения.
Скоро истечет: начальный уровень оповещения. Превышение этого порога вызывает проблему серьезности ERROR. Дата сертификата not_valid_afterтребует внимания, но срок его действия еще не близок.
Интервал между обнаружением сертификата и проверкой метаданных (часы): частота, с которой расширение будет обновлять обнаруженные сертификаты и обрабатывать доступные данные. Во время первоначальной настройки и тестирования может подойти меньшее значение. После полной настройки расширения рекомендуется интервал в 8 часов.
Помимо определения частоты обнаружения сертификатов и обновления метаданных, интервал проверки определяет, как разрешаются проблемы. Все проблемы с сертификатами останутся открытыми до тех пор, пока проверка сертификата не подтвердит, что проблема решена. Интервал в 24 часа приведет к тому, что проблема с сертификатом будет оставаться открытой как минимум 24 часа. Проблема не будет решена до тех пор, пока следующая проверка не определит, решена ли проблема.
Экраны унифицированного анализа и метрика состояния сертификата. Экраны унифицированного анализа содержат метаданные обо всех обнаруженных сертификатах. Для этой функции требуется сбор данных с использованием метрики статуса сертификата ( certificate.monitor.status). Для удобства работы рекомендуется включить сбор метрик . Если этот параметр отключен, функциональность расширения ограничивается созданием оповещений и регистрацией событий. Этот вариант использует метрики ВИД.
Годовое потребление метрик ВИД рассчитывается по следующей формуле: <# обнаруженных сертификатов> x <24 / интервал проверки сертификатов (часы)> x 365 x 0.001. например, один сертификат, проверяемый каждые 8 часов, будет потреблять ~3 (1 x (24/3) x 365 x 0.001) метрик ВИД в год.
Настройка диапазона портов
Дополнительная функция для определения инклюзивных и монопольных диапазонов портов во время обнаружения сертификата.
Включаемый диапазон портов : диапазон портов можно выразить через дефис. Отдельные порты или группы портов могут быть разделены точкой с запятой. т.е.443;1024-2000;50000-51000
Диапазон исключаемых портов : необязательный диапазон исключаемых портов. Этот параметр применяется после правила включения. Например, если порты 400-410включены , а порт 405исключен, результирующий набор портов будет 400-404и 406-410.
Фильтрация процессов по типу технологии
Дополнительная настройка, позволяющая ограничить проверки сертификатов определенными типами технологий. Этот фильтр можно настроить так, чтобы он включал только перечисленные технологии или исключал перечисленные технологии из мониторинга.
Добавить технологию : добавьте технологию в фильтр, определенный выше. Доступные типы технологий — это типы «Основной технологии», которые присутствуют в представлениях процессов. Некоторые процессы отображают несколько записей в разделе «Основная технология». Фильтр типа технологии использует ORлогику. Процесс, в котором в качестве основных технологий указаны «IIS, пул приложений IIS и .NET», будет отслеживаться, если в этот фильтр будет добавлена какая-либо комбинация технологий.
Добавить дополнительные домены SNI
Дополнительный параметр для настройки дополнительных доменов SNI (индикация имени сервера).
Добавить домен : расширенный параметр, позволяющий предоставить список доменов для использования с указанием имени сервера . SNI — это расширение протокола TLS, который используется в HTTPS. Используйте этот параметр, чтобы указать доменное имя веб-сайта во время первоначального подтверждения TLS, а не при открытии соединения HTTPS после подтверждения.
Записать статус сертификата
Интервал регистрации состояния сертификата : расширение будет регистрировать метаданные событий, когда сертификат находится в состоянии предупреждения. Кроме того, расширение также будет периодически регистрировать метаданные сертификатов в работоспособном состоянии. Цель этого параметра — предоставить возможность запрашивать метаданные сертификата независимо от состояния работоспособности сертификата.
Проверка хостов по доменному имени
Необязательный список доменов для прямой проверки. Расширение попытается открыть соединение с предоставленными доменами. Для этой функции требуется, чтобы хост расширения мог установить соединение с доменом. В настоящее время находится в ранней предварительной версии. Контролируйте домен только в одной локальной конфигурации мониторинга. В большинстве случаев рекомендуется развертывать это расширение удаленно (на АктивномШлюзе) для мониторинга на основе домена.
Добавить домен : при необходимости укажите список доменов, которые расширение будет проверять напрямую.
Включить отладку
Установите этот флажок, чтобы включить ведение журнала уровня отладки.
Информация о совместимости
Автоматическое обнаружение основано на отслеживаемых ЕдинымАгентом процессах, имеющих метаданные «прослушивающего порта». В случаях, когда информация о порте недоступна, автоматическое обнаружение не удастся. В будущих версиях поддержка будет расширена, чтобы охватить более широкий спектр сценариев.
Поддержка автоматического обнаружения сертификатов на веб-серверах IIS в настоящее время находится на экспериментальной стадии.
Поиск неисправностей
Сбои автоматического обнаружения
Большинство сбоев автоматического обнаружения связано с отсутствием метаданных «Порт» в процессах, контролируемых Ключ-АСТРОМ. Если автоматическое обнаружение не удалось, функция «Мониторинг по домену» будет охватывать некоторые сценарии. Эта функция позволяет отслеживать сертификаты по имени домена.
В будущих версиях автоматическое обнаружение будет расширено, чтобы охватить более широкий спектр сценариев.
Содержание расширения
| Тип содержимого | Количество включенных предметов |
|---|---|
| Screen Injections | 2 |
| Screen Logs Cards | 2 |
| Screen Chart Groups | 2 |
| Screen Layout | 2 |
| Generic Relationship | 4 |
| Screen Properties | 2 |
| Dashboards | 1 |
| Screen Actions | 2 |
| Screen Entities Lists | 5 |
| List Screen Layout | 2 |
| Metric Metadata | 1 |
| Generic Type | 2 |
Наборы функций
Ниже приведен полный список наборов функций, представленных в этой версии. Чтобы обеспечить хорошее соответствие вашим потребностям, отдельные метрики могут быть активированы и деактивированы вашим администратором во время настройки.
Наборы функцийКоличество включенных показателей
| Название метрики | Ключ метрики | Описание | Единица |
|---|---|---|---|
| Certificate status | certificate.monitor.status | Статус обнаруженных сертификатов | Количество |
