web-dev-qa-db-ja.com

取り消された証明書についてHTTPSサイトをどのようにテストしますか?

現在、nagiosを使用して監視を行っています。たとえば、check_httpオプションを使用して、間もなく期限切れになるSSL証明書を確認します。やりたいのは、各サイトで取り消された証明書をテストすることです。監視しています。簡単そうですね。上手:

  • check_httpは取り消された証明書をチェックしていないようです。少なくとも、最近起こったときはビープ音が鳴らなかったので、混乱が生じました
  • OpenSSLのverifyには-crl_check-crl_check_allがあります。これは素晴らしいことですが、私はCRLよりもOSCPに関心があります(ブラウザーが気にするのはそれだからです)
  • Opensslにはoscpモードがありますが、証明書を適切な場所に配置したり、OSCPサーバーがどこにあるかを把握したりするには、多くの作業を行う必要があるようです。

OSCPチェックを行うためのコードの記述に関する記事をたくさん見つけましたが、それを行うNiceプログラムが必要ですよね?私が欲しいのは、Nagiosチェック、または私が1つとして使用できるものです。私の完璧な世界では、次のようになります。

check_http_with_oscp -I (IP) -H (hostname) -p 443

誰でも?

sslhttphttpsnagios
5
Bill Weiss

ここではポインタしか出せないのではないかと思いますが、苦労せずに何かをまとめることができるはずです。

opensslのs_client-showcertsは、PEMでエンコードされた証明書をダンプします。正規表現を使用して、それぞれを非常に簡単に抽出できます。次に、それらをopenssl x509 -textにパイプして、OCSPURLを抽出します。次に、openssl ocspを使用して、OCSP要求をレスポンダーに送信できます。

http://openssl.org/docs/apps/ocsp.html

いずれの場合も、ルート証明書を除いて親証明書が必要になります。したがって、それをハードコーディングすることは別として、それは完全に自己完結型です。 (AIA拡張URLを介してルート証明書をダウンロードすることもできます。)

2
agl

これには非常に異なるアプローチを使用しますが、おそらくそれも機能します。Firefox用のiMacrosでWebブラウザを起動し、Webサイトに移動して、証明書の有効期限が切れている場合、iMacrosはと同じエラーメッセージを「表示」します。実際のユーザー。私はそのメッセージをチェックします...そしてそれを私たちの監視システムに返します。

私はWindowsServerでそれを行いますが、iMacrosコマンドラインサポートを介してLinuxでも使用できます。これはfreeiMacrosFirefoxおよびChromeアドオンの一部です。

または、AlertFox監視サービスで無料のアカウントを使用することを検討してください。 4時間ごとに無料のチェックを実行できます。これは、 期限切れの証明書をチェック してアラートをトリガーするのに十分です。

3
Tim Y.