Мониторинг SSL-сертификатов

ℹ️ О мониторинге SSL-сертификатов

Система мониторинга SSL-сертификатов в INFRAX автоматически проверяет срок действия SSL-сертификатов веб-сайтов и служб, работающих по протоколу HTTPS. При приближении даты истечения сертификата система создает тикет для своевременного обновления, что помогает избежать проблем с доступностью защищенных сервисов.

Содержание раздела

Обзор системы

Мониторинг SSL-сертификатов предназначен для предотвращения ситуаций, когда истекший сертификат вызывает недоступность веб-сервиса или предупреждения безопасности для пользователей.

Основные возможности

  • Автоматическая проверка — периодическая проверка срока действия SSL-сертификатов
  • Определение даты истечения — получение информации о дате окончания действия сертификата
  • Создание тикетов — автоматическое создание тикетов за N дней до истечения
  • Приоритизация — назначение приоритета тикета в зависимости от оставшихся дней
  • Автоматическое закрытие — закрытие тикетов после обновления сертификата
  • Мониторинг доступности — обнаружение проблем с подключением к защищенному сервису
⚠️ Требования

Мониторинг SSL-сертификатов работает только для узлов с настроенным сервисом Web (HTTPS). Для HTTP-сайтов мониторинг сертификатов недоступен, так как они не используют SSL/TLS.

Как это работает

Система мониторинга SSL-сертификатов выполняет периодическую проверку всех узлов сети с настроенным протоколом Web (HTTPS).

Процесс мониторинга

  1. Обнаружение узлов — система находит все узлы с настроенным сервисом Web и URL начинающимся с https://
  2. Подключение к серверу — устанавливается соединение с веб-сервером для получения информации о сертификате
  3. Извлечение данных — система извлекает информацию о сертификате: дату истечения, издателя, доменное имя
  4. Расчет оставшихся дней — вычисляется количество дней до истечения срока действия
  5. Проверка порогов — сравнение с настроенным пороговым значением
  6. Создание тикета — при необходимости создается тикет с соответствующим приоритетом

Собираемая информация о сертификате

Параметр Описание
Дата истечения Дата окончания действия сертификата
Оставшиеся дни Количество дней до истечения срока действия
Издатель Информация о центре сертификации (CA), выдавшем сертификат
Доменное имя Домен, для которого выдан сертификат
Статус проверки Результат последней проверки (успешно/ошибка)

Настройка мониторинга

Мониторинг SSL-сертификатов настраивается в параметрах узла или папки на вкладке «Мониторинг».

Настройка сервиса Web

📝 Первый шаг

Перед настройкой мониторинга SSL убедитесь, что для узла настроен сервис Web с указанием URL начинающегося с https://

  1. Откройте настройки узла
  2. На вкладке «Общее» в разделе «Сервисы / протоколы подключения» добавьте или настройте сервис Web
  3. Укажите полный URL с протоколом HTTPS, например: https://example.com
  4. Сохраните настройки

Настройка параметров мониторинга SSL

После настройки Web-сервиса, перейдите к параметрам мониторинга:

  1. Откройте настройки узла или папки
  2. Перейдите на вкладку «Мониторинг»
  3. В разделе «SSL-сертификаты» настройте параметры:
Параметр Описание Значение по умолчанию
Создавать тикеты при истечении SSL Автоматическое создание тикетов когда до истечения сертификата остается меньше порогового значения Выключено
Автоматически закрывать тикеты при продлении Автоматически закрывать тикет когда сертификат обновлен Выключено
Дней до истечения Пороговое значение в днях для создания тикета 30 дней
💡 Наследование настроек

Параметры мониторинга SSL могут наследоваться от родительских папок. Вы можете настроить общие параметры на уровне папки (например, создавать тикеты за 30 дней для всех продакшн-серверов), и они автоматически применятся ко всем вложенным узлам.

Рекомендуемые значения порога

Тип сервиса Рекомендуемое значение Обоснование
Критичные продакшн-сервисы 60 дней Достаточно времени для планирования и обновления
Обычные веб-сайты 30 дней Стандартный срок для большинства сертификатов
Тестовые среды 14-21 день Меньший приоритет, но все же требует внимания
Внутренние сервисы 7-14 дней Минимальное уведомление для внутренних систем

Создание тикетов

Когда до истечения срока действия сертификата остается меньше дней, чем указано в пороговом значении, система автоматически создает тикет.

Приоритеты тикетов

Система автоматически назначает приоритет тикета в зависимости от количества оставшихся дней:

Оставшиеся дни Приоритет Цвет Описание
≤ 7 дней Критический 🔴 Красный Требует немедленного обновления сертификата
8-14 дней Высокий 🟠 Оранжево-красный Необходимо запланировать обновление в ближайшее время
15-21 день Средний 🟡 Оранжевый Есть время для планового обновления
> 21 дня Низкий 🟡 Желтый Раннее предупреждение, много времени для подготовки

Содержимое тикета

Автоматически созданный тикет содержит подробную информацию:

Информация в тикете SSL

  • Заголовок — включает приоритет, имя узла, дату истечения и количество оставшихся дней
  • URL сайта — адрес проверяемого веб-сервиса
  • Дата истечения — точная дата окончания действия сертификата
  • Оставшиеся дни — количество дней до истечения
  • Информация об издателе — данные о центре сертификации
  • Ссылка на проверку — внешний инструмент для детальной проверки сертификата
  • Привязка к узлу — тикет автоматически связывается с узлом сети

Предотвращение дублирования

Система контролирует создание тикетов и не создает дубликатов:

  • Для каждого узла может существовать только один активный тикет об истечении SSL-сертификата
  • Если тикет уже существует, новый не создается
  • После закрытия тикета и повторном превышении порога создается новый тикет

Автоматическое закрытие тикетов

Когда сертификат обновлен и срок его действия снова превышает пороговое значение, система может автоматически закрыть тикет (если включена соответствующая настройка).

Условия автоматического закрытия

Тикет закрывается автоматически если:

  1. Включена настройка «Автоматически закрывать тикеты при продлении»
  2. Количество дней до истечения стало больше порогового значения
  3. Тикет находится в статусе, отличном от «Выполнен»
  4. Сертификат успешно проверен и валиден

Что происходит при закрытии

  • В тикет добавляется системное сообщение о том, что сертификат продлен
  • Статус тикета изменяется на «Выполнен»
  • Связь тикета с узлом сохраняется для истории
  • Отправляется уведомление в Telegram (если настроено)
✅ Преимущество

Автоматическое закрытие тикетов избавляет от необходимости вручную закрывать тикеты после обновления сертификатов, что особенно полезно при использовании автоматизированных систем обновления сертификатов (например, Let's Encrypt с автоматическим продлением).

Просмотр статуса сертификатов

Информацию о статусе SSL-сертификатов можно просматривать несколькими способами:

Через тикеты Helpdesk

  1. Перейдите в раздел Helpdesk
  2. Тикеты об истечении SSL-сертификатов помечены как инциденты мониторинга
  3. Приоритет тикета указывает на срочность обновления
  4. В теле тикета содержится вся информация о сертификате

Через карточку узла

  1. Откройте карточку узла с настроенным Web-сервисом
  2. На вкладке «Тикеты» отображаются все связанные тикеты
  3. Тикеты об SSL-сертификатах будут отмечены соответствующим типом

Через историю триггеров

  1. Перейдите в раздел Мониторинг → История триггеров
  2. Выберите фильтр по типу метрики «SSL-сертификаты»
  3. Просмотрите историю срабатываний и восстановлений

Обработка ошибок

Система мониторинга SSL-сертификатов обрабатывает различные виды ошибок подключения.

Типы ошибок

Тип ошибки Причина Действие системы
Ошибка подключения Сервер недоступен, порт закрыт, сетевые проблемы Создается тикет о проблеме подключения
Истекший сертификат Сертификат уже просрочен Создается тикет с критическим приоритетом
Невалидный сертификат Проблемы с цепочкой доверия, отозван CA Фиксируется проблема, создается тикет
HTTP вместо HTTPS URL начинается с http:// вместо https:// Узел пропускается, проверка не выполняется

Восстановление после ошибок

Когда проблема с подключением устранена:

  • Система обнаруживает восстановление при следующей проверке
  • В тикет о проблеме подключения добавляется сообщение о восстановлении
  • Тикет может быть закрыт автоматически (если настроено)
  • Возобновляется нормальный мониторинг сертификата
ℹ️ Повторные попытки

При временных проблемах с сетью система может выполнять несколько попыток подключения перед созданием тикета об ошибке.

Рекомендации

Настройка мониторинга

Рекомендации по настройке

  • Используйте разные пороги для различных типов сервисов (критичные — 60 дней, обычные — 30 дней)
  • Настройте на уровне папок общие параметры для групп однотипных серверов
  • Включите автоматическое закрытие для сервисов с автоматическим обновлением сертификатов
  • Укажите полные URL с протоколом https:// для точной проверки
  • Проверяйте порты — если сервис работает на нестандартном порту, укажите его в URL

Работа с тикетами

  • Реагируйте на тикеты с высоким и критическим приоритетом в первую очередь
  • Используйте тикеты для планирования обновления сертификатов
  • Добавляйте комментарии в тикеты о процессе обновления
  • Не закрывайте тикеты вручную до обновления сертификата (если включено автозакрытие)

Интеграция с процессами

Автоматизация обновления

Рекомендуется интегрировать мониторинг SSL с системами автоматического обновления сертификатов:

  • Let's Encrypt с Certbot — автоматическое обновление каждые 60-90 дней
  • ACME-клиенты — различные инструменты для автоматизации работы с сертификатами
  • Облачные CDN — многие CDN автоматически управляют сертификатами

Мониторинг разных типов сертификатов

Тип сертификата Особенности Рекомендации
Let's Encrypt Срок действия 90 дней, бесплатные Порог 30 дней, включить автозакрытие
Коммерческие CA Срок действия 1-2 года Порог 60 дней, планировать обновление
Самоподписанные Произвольный срок действия Порог зависит от установленного срока
Wildcard Один сертификат для поддоменов Критический приоритет, влияет на много сервисов

Что делать при получении тикета

Алгоритм действий

  1. Оценить приоритет — проверить сколько дней осталось
  2. Проверить сертификат — открыть сайт в браузере или использовать специальные инструменты
  3. Запланировать обновление — выделить время для работы
  4. Подготовить новый сертификат — получить от CA или сгенерировать
  5. Установить сертификат — заменить на сервере
  6. Проверить работу — убедиться что сайт работает корректно
  7. Дождаться автозакрытия — или закрыть тикет вручную
⚠️ Важно

Не игнорируйте тикеты об истечении SSL-сертификатов. Истекший сертификат может привести к недоступности сервиса и предупреждениям безопасности для пользователей, что негативно влияет на репутацию и доверие.