harumaki.net

インフラ屋の覚書や、ラーメン食べある記とか。

infra サーバー監視 運用

[小ネタ]certwatch サーバー内のSSL証明書の有効期限をチェックするスクリプト

投稿日:2015年12月11日

Last Updated on 2021年7月4日 by かんりにん

※対象のOSはRedHat Enterprise Linux 6.*とCentOS6.*です。

RedHat/CentOSに”crypto-utils”なるRPMパッケージがあり、
このユーティリティにふくまれる”certwatch”という親切ツールがあるのだけど
cronで SSL証明書が期限間近になるとメールでお知らせしてくれる、というもの。
これまではnagiosでSSL証明書のプラグインを使っていたので、ユーティリティでチェックができるので便利!というか手間が省ける!

参考:お世話になっております!
certwatch(1) – Linux man page
ローカルに置いてある証明書の有効期限をチェックするスクリプト – kenjiskywalker’s diary –

以下、ツールやファイルの概要はこんな感じ。

 パッケージ:crypto-utils
 ツール  :certwatch (実行ファイルは/usr/bin/certwatch)
 スクリプト:/etc/cron.daily/certwatch (bashのスクリプト)
 実行間隔 :デフォルトではdailyで動作
 関連設定 :/etc/sysconfig/httpd

しかしながら、認証局から発行してもらった証明書を使用していない環境でも
OSにデフォルトで用意されている証明書(localhost.crtとか)をチェックして
お知らせしてくれちゃう、というありがた迷惑な側面も持っている。

というより、httpdのssl.confで指定されている証明書を見ているので
apache/httpdでssl.confをメンテしていなければ、そういう動きになるんだけどw

今回のAWS環境ではSSL通信にELBでリバースプロキシを使っているし、この通知はいらないね!ということで
仕組みのおさらいと無効化の対応をランチ前にサクっと実行。

やりかた その1)httpd側で無効にする

スクリプトを読んでみると、冒頭のコメント部分に
“Set NOCERTWATCH=yes in /etc/sysconfig/httpd to disable.”
と説明があり、/etc/sysconfig/httpdに説明を書けばOKとのこと。超簡単!

設定ファイル:/etc/sysconfig/httpd
設定値   :NOCERTWATCH=yes

以上、これにて終了。

やりかた その2) cronファイルを隠しファイルに。

certwatchのスクリプトは/etc/cron.daily以下に配置されているので、このスクリプトを隠しファイルにしちゃえばOK。

# cd /etc/cron.daily
# mv certwatch .certwatch

以上でOK。
ファイルに”.bak”とかつけちゃえ、と思ったが、拡張子を見てるわけではないので
隠しファイルにしてしまったほうが確実。
ファイルをrmしちゃうのも気が引けるので…(とはいえ、使わないのですがw)

ということでランチに行ってきま~すw
 
 

 

-infra, サーバー監視, 運用
-, ,

執筆者:


comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA


関連記事

no image

[rsync]タイムスタンプについてメモ

同期元ホストのディレクトリのタイムスタンプ(last update)を同期先で合わせる場合のちょっとしたメモ。 rsyncを実行するホストがデータの同期元か同期先(バックアップ先)かでオプションが変わ …

nagios​/plugin​/Recurring schedule

  [pukiwiki] *nagios ダウンタイムの定期スケジューリング nagios標準のダウンタイム機能は一回限りのスケジュール設定のみが可能で、 “毎晩03時~05時は非通知&# …

no image

[MySQL] Percona xtrabackupを試す(Ver2.3)

PerconaのMySQL用バックアップツール。今回は2.3の最新版2.3.3を入れて検証してみる。リリースは2015年12月。 バックアップ対象のMySQLは、Percona謹製のMySQLだけでな …

no image

rsync実行時に”Argument list too long.”で叱られた時のメモ、ついでにxargsで渡してみた

アプリサーバーのログファイルが大量に増えたので、ログ退避用にバックアップ用ホストを用意して転送をしようとしたら rsyncさんから”Argument list too long.&#822 …

no image

[MySQL] ZRM(Zmanda Recovery Manager) を試してみる

お客さんのWebサイトで運用しているMySQLにて、ここんとこmysqldump実行時にエラーが出るように。 レプリケーションにてスレーブ2ホストで同期しているので、ダンプのエラー自体は緊急性は高くな …

宅麺