Icinag 上有一个X509模块,可以实现定期扫描内网证书,并自定义监控证书过期时间告警。
(注:该模块适合内网IP和端口批量扫描,如果是需要监控公网服务的证书,最好是通过域名和端口单个监控项分别添加,单个监控网上有监控脚本)
1. 按照教程装好x509模块,配置扫描任务和计划,定期对内网IP网段和端口进行扫描,扫描结果回存储下来,如图
2. 扫描到的证书里面可以给我们一些预览,基本信息,如果我们想要定期监控告警,可以通过Icinga Directorxin新建一个数据导入源导入并监控。
3. 实际上我们并不需要监控每一个扫描到的证书,比如有很多服务器使用自签发证书,或者有很多服务并不关心证书有效与否,这时我们可以通过导入源的Modifiers,设置证书主体名称,签发机构,是否可信(需提前导入CA链到Icinga)等条件筛选掉不需要监控的证书
4.剩下的证书导入后,就是我们在监控的证书了
老小吴 275972560@qq.com