This wrote Laborczi Pál on Wed Feb 20, 2013 at 14:06:18 +0100: >Adott egy szerver, melyhez a DNS szerint két IP szám tartozik, magyarán >az ügyfelek hol az egyik, hol a másik IP-t kapják meg. > >Az egyik "IP számon" két virtuális webszerver fut (apache) >értelemszerűen két különböző néven, két különböző tanúsítvánnyal. Hogy >lehet lekérdezni távolról az IP számhoz kötötten az egyik, ill. a másik >szerver tanúsítványát, pl. hogy érvényes-e még? > >A nagios check_tcp ill check_http modulja erre nem alkalmas, mert ha a > >check_http -H szerver.fqdn --ssl --certificate=30,7 > >parancsot futtatom, akkor a DNS lekérdezés szerint hol az egyik, hol a >másik szervert szólítja meg > >Ha -I IP számot adok meg, akkor a két tanúsítvány közül csak az egyikre >nézve hajlandó válaszolni. > >A check_http -H <vhost> | -I <IP-address> [-u <uri>] szerint IP is >megadok, vagy akár -u https://...-t, ugyanez a helyzet. > >Az openssl -t sem sikerült fölparamétereznem egyidejűleg a gép nevére >és IP számára vonatkozóan.
http://nagiosplugins.org/man/check_http -> keress az SNI szóra. Bővebben: http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI A 2 IP címes megoldásra pedig szintén a check_http -ben van a megoldás (-H vhost -I ipcím) >Létezik egy x509watch program, amivel számos tanúsítvány egyidejűleg >lekérdezhető, de ezt magán a szerveren kell futtatni és ezt elkerülném >ha lehet. Miért? Írsz rá egy nrpe checket és lokálisan ellenőrzöd. Vagy szimplán felírod egy cron jobba a szerveren, hogy lejárat előtt X idővel emlékeztessen (láttam már ilyen megoldást). Vagy szimplán az openssl megfelelően felparaméterezve plusz 2marék bash okosság és megvan a lejárati idő. De eztis az adott szerveren kell futtatni. IroNiQ -- System Administrator _________________________________________________ linux lista - [email protected] http://mlf2.linux.rulez.org/mailman/listinfo/linux
