[Postfixbuch-users] SSL-Zertifikate mit Nagios checken

Andre Tann atann at alphasrv.net
Di Mär 5 12:16:41 CET 2013 

Igor Sverkos, Dienstag, 5. März 2013:

> Aber viele verwenden das auch, um so die Zertifikatskette abzubilden
> (man bekommt ja heute kein SSL-Zertifikat ohne Zwischenzertifkat mehr).

...in meinem Fall ist das so, weil ich selbst die Root-CA bin.


> Was ich mich an der Stelle aber frage ist, wie die Überprüfung von
> CAfile durchlaufen konnte:
>
> Wenn du bislang keine Zertifikatskette mitlieferst, muss ja eigentlich
> die prüfende Instanz alle Zwischenzertifikate + Rootzertifikat
> installiert haben, um das Zertifikat zu überprüfen.

So ist das auch. Das Outlook bzw. der Zertifikatspeicher von Windows haben
das selbstberechnete Root-Zertifikat installiert. Mit dessen Hilfe klappt
die Prüfung des Server-Zertifikates durch Outlook.
Hier frage ich mich aber, wie Outlook dazu kommt, auch das smtpd_tls_CAfile
zu prüfen, was es ja offenbar getan hat, sonst wäre die Fehlermeldung nicht
hochgepoppt. Wie sieht Outlook dieses Zertifikat überhaupt? Wieso wird
dieses von Postfix ausgeliefert?


> Es kann eigentlich nie passieren, dass Root/Zwischenzertifikate
> ablaufen, das eigentliche Zertifikat jedoch noch gültig ist. Insofern
> frage ich mich, wieso dein Check allgemein nicht angeschlagen ist.

So wie es aussieht prüft das Nagios-Plugin nur, ob das Zertifikat noch
nicht abgelaufen ist. Es prüft anscheinend nicht die Zertifikatskette bis
hin zum Root-CA.

Das Plugin kann das auch gar nicht prüfen, weil es keine Ahnung hat von
vertrauenswürdigen Root-Zertifikaten hat.

Gibts ein Plugin, welches das Serverzertifikat auch inhaltlich checken kann?


> P.s: Eine Prüfung von smtpd_tls_CAfile sollte nicht so einfach sein. Da
> können ja zig Zertifikate enthalten sein - die nichts miteinander zutun
> haben. Insofern müsste eine Prüfung jedes Zertifikat extrahieren und
> dieses für sich prüfen. Verwendet jemand jetzt bspw. das CAfile seiner
> Distribution oder von Mozilla sind das ein paar Hundert... :-)

...aber es gibt nur eines, welches das Server-Zertifikat ausgestellt hat.
Und das müßte eben mit überprüft werden.

--
Andre Tann

Mehr Informationen über die Mailingliste Postfixbuch-users