Проверьте законность сертификата SSL, включая цепочку CA, с Nagios
Попробуйте что-то вроде этого:
# yum install vsftpd
# nano /etc/vsftpd/vsftpd.conf
chroot_local_user=YES
# chkconfig vsftpd on
# service vsftpd start
# nano /etc/sysconfig/iptables
-A RH-Firewall-1-INPUT -m state --state NEW -p tcp --dport 21 -j ACCEPT
# service iptables restart
У меня нет опыта работы с этим, но похоже, что плагин check_ssl_cert делает то, что вы ищете.
Выдержка с сайта автора:
check_ssl_cert - это плагин Nagios для проверки CA и действительности Сертификат X.509
Я тоже не могу найти подключаемый модуль, который бы это тестировал, но было бы очень легко обернуть внутренности какого-нибудь случайного подключаемого модуля под GPL в однострочник openssl. Вот однострочное сравнение результатов двух моих серверов; www имеет сертификат Equifax, nagios самоподписан:
[madhatter@anni ~]$ echo "" | openssl s_client -connect nagios.teaparty.net:443 |& grep "verify error"
verify error:num=18:self signed certificate
[madhatter@anni ~]$ echo $?
0
[madhatter@anni ~]$
и
[madhatter@anni ~]$ echo "" | openssl s_client -connect www.teaparty.net:443 |& grep "verify error"
[madhatter@anni ~]$ echo $?
1
[madhatter@anni ~]$
обратите внимание на приятное, легкое для проверки изменение в статусе выхода grep, в зависимости от того, обнаружит ли он «ошибку проверки». строка.
Как это?
Я попытался создать проверку Nagios для проверки базы порядка цепочки с помощью этого метода, но это метод, похоже, не работает с Debian без изменений. Вы должны использовать:
echo "" | openssl s_client -showcerts -connect example.com:443 -CApath /etc/ssl/certs/ |& grep "verify error"
Кроме того, это не работает, когда цепочка находится в неправильном порядке , но все еще присутствует полностью.
Вы бы сказали, что порядок на самом деле не имеет значения, если пока поскольку промежуточные звенья расположены в правильном порядке, но некоторые системы требуют наличия корневого CA, а некоторые нет.