Ramsdata

logo.png

Monitorização de certificados Let’s Encrypt com Checkmk – uma solução completa para administradores

Num mundo em que os certificados SSL expiram cada vez mais depressa e a automatização já não é um luxo, mas sim uma necessidade – monitorizar o estado dos certificados Let’s Encrypt está a tornar-se crucial para qualquer organização. Embora possa parecer que um simples script seria suficiente para uma função tão simples, vale a pena apostar numa ferramenta mais poderosa como o Checkmk. Trata-se de uma ferramenta completa, fácil de configurar e gratuita na sua versão básica, que te permitirá não só acompanhar o estado dos teus certificados, mas também a saúde de toda a tua infraestrutura.

Principais conclusões

  • O Checkmk oferece uma monitorização rápida dos certificados Let’s Encrypt sem a necessidade de instalar um agente em cada máquina.

  • Possibilidade de configuração automática e de alertas precisos por correio eletrónico quando um certificado está prestes a expirar.

  • O Checkmk pode ser executado numa pequena máquina VPS ou localmente – mesmo como uma aplicação secundária no NAS.

  • Com um sistema de regras e pastas, os utilizadores podem gerir centralmente todos os certificados e anfitriões a partir de uma única consola.

  • O sistema evita falsos alarmes através da utilização de estados suaves e duros.

Índice

  1. Porquê monitorizar os certificados Let’s Encrypt?

  2. O que é o Checkmk e que edição escolher?

  3. Instalação passo a passo do Checkmk

  4. Configurar a monitorização de certificados – pastas, anfitriões e regras

  5. Notificações por e-mail e alertas de teste

  6. Otimização e prevenção de falsos alarmes

  7. Opções adicionais – check_httpv2 e vários nomes de anfitrião

  8. O que é que o futuro reserva para os certificados SSL?

  9. Resumo

Porquê monitorizar os certificados Let’s Encrypt?

Os certificados SSL são a pedra angular da segurança online atualmente. No entanto, o Let’s Encrypt funciona de forma diferente dos emissores tradicionais – os seus certificados só são válidos por 90 dias. Com a renovação automática, qualquer falha pode resultar na indisponibilidade de um site. Ao monitorizar os certificados, podemos detetar uma falha antecipadamente e evitar tempos de inatividade ou uma crise de imagem.

O que é o Checkmk e que edição escolher?

O Checkmk é uma poderosa ferramenta de monitorização disponível em duas versões:

  • Checkmk Raw – uma versão gratuita de código aberto, ideal para utilizadores técnicos.

  • Checkmk Cloud – uma versão comercial com um desempenho melhorado e uma configuração mais fácil dos alertas de correio eletrónico.

Para a maioria dos utilizadores, a versão Cloud será mais conveniente – após 30 dias, muda automaticamente para o modo gratuito com menos de 750 serviços monitorizados.

Instalação passo a passo do Checkmk

Basta descarregar o pacote .deb adaptado à tua distribuição Linux, atualizar os pacotes e instalar o Checkmk. O sistema é baseado em ‘sites’, ou seja, instâncias de monitorização – estas permitem testes seguros sem correr o risco de danificar toda a configuração.

Cria a primeira página:

bash
omd create my1stcheckmk
omd su my1stcheckmk
cmk-passwd cmkadmin
omd start

Após a instalação, já podes iniciar sessão a partir do teu browser como cmkadmin.

Configurar a monitorização de certificados – pastas, anfitriões e regras

Começa por criar uma pasta, por exemplo, “letsencrypt”, onde colocarás os anfitriões monitorizados apenas por verificações activas (ou seja, sem instalar um agente). Podes adicionar os anfitriões manualmente ou importá-los através de CSV (mesmo colando os nomes dos anfitriões).

Uma vez que os hosts tenham sido adicionados, cria uma nova regra “Verificar certificados” em Setup > Rules. Define, por exemplo, 22 dias como o limite de aviso e atribui a regra à pasta letsencrypt. Em poucos minutos, o sistema verificará a validade de cada certificado SSL para os hosts adicionados.

Notificações por e-mail e alertas de teste

As notificações bem configuradas são a base para uma monitorização eficaz. A versão Raw requer uma configuração MTA (por exemplo, Nullmailer), enquanto o Checkmk Cloud permite-te enviar notificações diretamente através do smarthost. Podes atribuir um endereço de e-mail a um utilizador no grupo Tudo e testar o desempenho dos alertas utilizando a função “Testar notificações”.

Otimização e prevenção de falsos alarmes

Para evitar um dilúvio de e-mails quando há uma deterioração momentânea do serviço, podes definir estados suaves e difíceis (por exemplo, três tentativas de verificação antes de ser enviada uma notificação). Desta forma, mantém o sistema vigilante sem exagerar.

Opções adicionais – check_httpv2 e vários nomes de anfitrião

A verificação básica do certificado só executa o aperto de mão SSL. Se quiseres verificar mais (por exemplo, códigos de resposta HTTP, redireccionamentos, conteúdo da página), utiliza check_httpv2.

Para certificados contendo vários nomes alternativos (SANs), cria um host separado para cada domínio e adiciona todos eles à pasta letsencrypt.

O que é que o futuro reserva para os certificados SSL?

Até 2029, os browsers aceitarão certificados com um período máximo de validade de 47 dias. Já a partir de março de 2025, o limite é de 100 dias, e a Let’s Encrypt planeia emitir certificados de 6 dias. Isto significa: só uma monitorização eficiente e a automatização poderão salvar o teu tempo de atividade.

Resumo

Implementar a monitorização de certificados SSL da Checkmk é um investimento que rapidamente se pagará a si próprio. Para além de monitorizar o Let’s Encrypt, a ferramenta também permite analisar o desempenho, a utilização do disco, a saúde do hardware ou o desempenho da base de dados.

Não esperes que o teu certificado expire. Contacta-nos e descobre as soluções da CheckMK!

Monitorização de certificados Let's Encrypt com Checkmk - uma solução completa para administradores

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

error: Content is protected !!