This wrote Laborczi Pál on Wed Feb 20, 2013 at 14:06:18 +0100:
>Adott egy szerver, melyhez a DNS szerint két IP szám tartozik, magyarán 
>az ügyfelek hol az egyik, hol a másik IP-t kapják meg.
>
>Az egyik "IP számon" két virtuális webszerver fut (apache) 
>értelemszerűen két különböző néven, két különböző tanúsítvánnyal. Hogy 
>lehet lekérdezni távolról az IP számhoz kötötten az egyik, ill. a másik 
>szerver tanúsítványát, pl. hogy érvényes-e még?
>
>A nagios check_tcp ill check_http modulja erre nem alkalmas, mert ha a
>
>check_http -H szerver.fqdn  --ssl  --certificate=30,7
>
>parancsot futtatom, akkor a DNS lekérdezés szerint  hol az egyik, hol a 
>másik szervert szólítja meg
>
>Ha -I IP számot adok meg, akkor a két tanúsítvány közül csak az egyikre 
>nézve hajlandó válaszolni.
>
>A check_http -H <vhost> | -I <IP-address> [-u <uri>] szerint IP is 
>megadok, vagy akár -u https://...-t, ugyanez a helyzet.
>
>Az openssl -t sem sikerült fölparamétereznem egyidejűleg  a gép nevére 
>és IP számára vonatkozóan.

http://nagiosplugins.org/man/check_http -> keress az SNI szóra.
Bővebben: http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI

A 2 IP címes megoldásra pedig szintén a check_http -ben van a megoldás (-H
vhost -I ipcím)

>Létezik egy x509watch program, amivel számos tanúsítvány egyidejűleg 
>lekérdezhető, de ezt magán a szerveren kell futtatni és ezt elkerülném 
>ha lehet.

Miért? Írsz rá egy nrpe checket és lokálisan ellenőrzöd. Vagy szimplán
felírod egy cron jobba a szerveren, hogy lejárat előtt X idővel
emlékeztessen (láttam már ilyen megoldást). Vagy szimplán az openssl
megfelelően felparaméterezve plusz 2marék bash okosság és megvan a lejárati
idő. De eztis az adott szerveren kell futtatni.


IroNiQ
-- 
System Administrator
_________________________________________________
linux lista      -      [email protected]
http://mlf2.linux.rulez.org/mailman/listinfo/linux

válasz