In einer Welt, in der SSL-Zertifikate immer schneller ablaufen und Automatisierung kein Luxus mehr ist, sondern eine Notwendigkeit, wird die Überwachung des Status von Let’s Encrypt-Zertifikaten für jedes Unternehmen entscheidend. Auch wenn es den Anschein hat, dass ein einfaches Skript für eine so einfache Funktion ausreicht, lohnt es sich, auf ein leistungsfähigeres Tool wie Checkmk zu setzen. Es handelt sich dabei um ein vollwertiges, einfach zu konfigurierendes und in der Grundversion kostenloses Tool, mit dem Sie nicht nur den Status Ihrer Zertifikate, sondern auch den Zustand Ihrer gesamten Infrastruktur überwachen können.
Wichtigste Schlussfolgerungen
-
Checkmk bietet eine schnelle Überwachung von Let’s Encrypt-Zertifikaten, ohne dass Sie einen Agenten auf jedem Rechner installieren müssen.
-
Möglichkeit der automatischen Konfiguration und präzisen E-Mail-Benachrichtigung, wenn ein Zertifikat abläuft.
-
Checkmk kann auf einem kleinen VPS-Rechner oder lokal ausgeführt werden – sogar als Nebenanwendung auf dem NAS.
-
Mit einem System von Regeln und Ordnern können Benutzer alle Zertifikate und Hosts von einer einzigen Konsole aus zentral verwalten.
-
Das System vermeidet Fehlalarme durch die Verwendung von Soft- und Hard-States.
Inhaltsverzeichnis
-
Warum Let’s Encrypt Zertifikate überwachen?
-
Was ist Checkmk und welche Edition sollten Sie wählen?
-
Schritt-für-Schritt Checkmk-Installation
-
Einrichten der Zertifikatsüberwachung – Ordner, Hosts und Regeln
-
E-Mail-Benachrichtigungen und Testwarnungen
-
Optimierung und Vermeidung von Fehlalarmen
-
Zusätzliche Optionen – check_httpv2 und mehrere Hostnamen
-
Wie sieht die Zukunft der SSL-Zertifikate aus?
-
Zusammenfassung
Warum Let’s Encrypt Zertifikate überwachen?
SSL-Zertifikate sind heute der Eckpfeiler der Online-Sicherheit. Let’s Encrypt arbeitet jedoch anders als herkömmliche Aussteller – seine Zertifikate sind nur 90 Tage lang gültig. Bei einer automatischen Erneuerung kann jeder Ausfall dazu führen, dass eine Website nicht mehr verfügbar ist. Durch die Überwachung der Zertifikate können wir einen Ausfall im Voraus erkennen und Ausfallzeiten oder eine Imagekrise vermeiden.
Was ist Checkmk und welche Edition sollten Sie wählen?
Checkmk ist ein leistungsstarkes Überwachungsprogramm, das in zwei Versionen erhältlich ist:
-
Checkmk Raw – eine kostenlose Open-Source-Version, ideal für technische Benutzer.
-
Checkmk Cloud – eine kommerzielle Version mit verbesserter Leistung und einfacherer Konfiguration von E-Mail-Warnungen.
Für die meisten Benutzer wird die Cloud-Version bequemer sein – nach 30 Tagen wechselt sie automatisch in den kostenlosen Modus mit weniger als 750 überwachten Diensten.
Schritt-für-Schritt Checkmk-Installation
Sie müssen lediglich das auf Ihre Linux-Distribution zugeschnittene Paket .deb herunterladen, die Pakete aktualisieren und Checkmk installieren. Das System basiert auf ‚Sites‘, d.h. Überwachungsinstanzen – diese ermöglichen ein sicheres Testen, ohne eine Beschädigung der gesamten Konfiguration zu riskieren.
Erstellen Sie die erste Seite:
Nach der Installation können Sie sich bereits über Ihren Browser als cmkadmin anmelden.
Einrichten der Zertifikatsüberwachung – Ordner, Hosts und Regeln
Beginnen Sie damit, einen Ordner zu erstellen, z.B. „letsencrypt“, in dem Sie Hosts ablegen, die nur durch aktive Prüfungen überwacht werden (d.h. ohne Installation eines Agenten). Sie können die Hosts manuell hinzufügen oder sie per CSV importieren (auch durch Einfügen der Hostnamen).
Nachdem Sie die Hosts hinzugefügt haben, erstellen Sie unter Einrichtung > Regeln eine neue Regel „Zertifikate prüfen“. Legen Sie z.B. 22 Tage als Warnschwelle fest und weisen Sie die Regel dem Ordner letsencrypt zu. Innerhalb weniger Minuten prüft das System die Gültigkeit der einzelnen SSL-Zertifikate für die hinzugefügten Hosts.
E-Mail-Benachrichtigungen und Testwarnungen
Gut konfigurierte Benachrichtigungen sind die Grundlage für eine effektive Überwachung. Die Raw-Version erfordert eine MTA-Konfiguration (z.B. Nullmailer), während Checkmk Cloud Ihnen erlaubt, Benachrichtigungen direkt über Smarthost zu versenden. Sie können einem Benutzer in der Gruppe Alles eine E-Mail-Adresse zuweisen und die Leistung der Benachrichtigungen mit der Funktion ‚Testbenachrichtigungen‘ testen.
Optimierung und Vermeidung von Fehlalarmen
Um eine Flut von E-Mails zu vermeiden, wenn sich der Service kurzzeitig verschlechtert, können Sie weiche und harte Zustände festlegen (z.B. drei Prüfversuche, bevor eine Benachrichtigung gesendet wird). So bleibt das System wachsam, ohne es zu übertreiben.
Zusätzliche Optionen – check_httpv2 und mehrere Hostnamen
Die einfache Zertifikatsprüfung führt nur den SSL-Handshake durch. Wenn Sie mehr prüfen möchten (z.B. HTTP-Antwortcodes, Umleitungen, Seiteninhalte), verwenden Sie check_httpv2.
Bei Zertifikaten, die mehrere alternative Namen (SANs) enthalten, erstellen Sie für jede Domäne einen eigenen Host und fügen Sie sie alle zum Ordner letsencrypt hinzu.
Wie sieht die Zukunft der SSL-Zertifikate aus?
Bis 2029 werden die Browser Zertifikate mit einer maximalen Gültigkeitsdauer von 47 Tagen akzeptieren. Bereits ab März 2025 liegt die Grenze bei 100 Tagen, und Let’s Encrypt plant, Zertifikate für 6 Tage auszustellen. Das bedeutet: Nur eine effiziente Überwachung und Automatisierung wird Ihre Betriebszeit retten.
Zusammenfassung
Die Implementierung der SSL-Zertifikatsüberwachung von Checkmk ist eine Investition, die sich schnell bezahlt macht. Neben der Überwachung von Let’s Encrypt ermöglicht das Tool auch die Analyse von Leistung, Festplattennutzung, Hardwarezustand oder Datenbankleistung.
Warten Sie nicht darauf, dass Ihr Zertifikat abläuft. Kontaktieren Sie uns und entdecken Sie die Lösungen von CheckMK!
