NetXMS의 Windows에서 인증서 만료 날짜 모니터링

최근 우리는 Windows 서버에서 인증서의 유효 기간을 모니터링하는 작업에 직면했습니다. 글쎄요, 인증서 갱신을 담당하는 수염 난 동료가 휴가 중이던 바로 그 순간 인증서가 호박으로 여러 번 변한 후 어떻게 일어났습니까? 그 후 그와 나는 뭔가를 의심하고 그것에 대해 생각하기로 결정했습니다. 우리는 NetXMS 모니터링 시스템을 천천히 구현하고 있기 때문에 이것이 기본적으로 이 작업의 유일한 후보가 되었습니다.

최종적으로 다음과 같은 형태로 결과가 나왔습니다.

그리고 프로세스 자체가 계속됩니다.

가다. NetXMS에는 인증서 만료에 대한 기본 제공 카운터가 없으므로 직접 만들고 스크립트를 사용하여 데이터를 제공해야 합니다. 물론 Powershell에서는 Windows입니다. 스크립트는 운영 체제의 모든 인증서를 읽고 거기에서 만료 날짜(일)를 가져와 이 숫자를 NetXMS에 전달해야 합니다. 그의 대리인을 통해. 그것이 우리가 시작할 곳입니다.

옵션 하나, 가장 간단합니다. 인증서 만료일까지 남은 일수를 가장 가까운 날짜로 간단히 알아보세요.

NetXMS 서버가 사용자 정의 매개변수의 존재를 알기 위해서는 에이전트로부터 이를 수신해야 합니다. 그렇지 않으면 이 매개변수가 없기 때문에 추가할 수 없습니다. 따라서 에이전트 구성 파일에서 nxagentd.conf 다음과 같은 외부 매개변수 문자열을 추가합니다. HTTPS.CertificateExpireDateSimple, 여기서 스크립트 실행을 등록합니다.

ExternalParameter = HTTPS.CertificateExpireDateSimple: powershell.exe -File "servershareNetXMS_CertExpireDateSimple.ps1"

스크립트가 네트워크를 통해 실행된다는 점을 고려하면 다음 사항을 기억해야 합니다. 실행 정책, 그리고 코드 가독성을 높이기 위해 생략한 다른 "-NoLogo -NoProfile -NonInteractive"도 잊지 마세요.

결과적으로 에이전트 구성은 다음과 같습니다.

#
# NetXMS agent configuration file
# Created by agent installer at Thu Jun 13 11:24:43 2019
#
 
MasterServers = netxms.corp.testcompany.ru
ConfigIncludeDir = C:NetXMSetcnxagentd.conf.d
LogFile = {syslog}
FileStore = C:NetXMSvar
SubAgent = ecs.nsm
SubAgent = filemgr.nsm
SubAgent = ping.nsm
SubAgent = logwatch.nsm
SubAgent = portcheck.nsm
SubAgent = winperf.nsm
SubAgent = wmi.nsm
 
ExternalParameter = HTTPS.CertificateExpireDateSimple: powershell.exe -File "servershareNetXMS_CertExpireDateSimple.ps1"

그런 다음 구성을 저장하고 에이전트를 다시 시작해야 합니다. NetXMS 콘솔에서 이 작업을 수행할 수 있습니다. 구성(에이전트 구성 파일 편집)을 열고 편집하고 저장 및 적용을 실행하면 실제로 동일한 일이 발생합니다. 그런 다음 전혀 기다릴 힘이 없다면 구성(Poll > Configuration)을 다시 읽으십시오. 이 단계 후에는 맞춤 매개변수를 추가할 수 있습니다.

NetXMS 콘솔에서 다음으로 이동합니다. 데이터 수집 구성 인증서를 모니터링하고 거기에 새 매개변수를 생성할 실험 서버입니다(향후에는 구성 후 이를 템플릿으로 전송하는 것이 합리적입니다). 목록에서 HTTPS.CertificateExpireDateSimple을 선택하고, 명확한 이름으로 설명을 입력하고, 유형을 정수로 설정하고, 폴링 간격을 구성합니다. 디버깅 목적으로 예를 들어 30초로 짧게 만드는 것이 좋습니다. 모든 것이 준비되었습니다. 지금은 이것으로 충분합니다.

확인하실 수 있습니다... 아뇨, 너무 이르네요. 물론 이제 우리는 아무것도 얻지 못할 것입니다. 스크립트가 아직 작성되지 않았기 때문입니다. 이 누락된 내용을 수정해 보겠습니다. 스크립트는 단순히 인증서가 만료될 때까지 남은 일수를 표시합니다. 사용 가능한 모든 것 중 가장 최소한입니다. 예시 스크립트:

try {
    # Получаем все сертификаты из хранилища сертификатов
    $lmCertificates = @( Get-ChildItem -Recurse -path 'Cert:LocalMachineMy' -ErrorAction Stop )
     
    # Если сертификатов нет, вернуть "10 лет"
    if ($lmCertificates.Count -eq 0) { return 3650 }
 
    # Получаем Expiration Date всех сертификатов
    $expirationDates = @( $lmCertificates | ForEach-Object { return $_.NotAfter } )
 
    # Получаем наиболее близкий Expiration Date из всех
    $minExpirationDate = ($expirationDates | Measure-Object -Minimum -ErrorAction Stop ).Minimum
 
    # Конвертируем наиболее близкий Expiration Date в количество оставшихся дней с округлением в меньшую сторону
    $daysLeft = [Math]::Floor( ($minExpirationDate - [DateTime]::Now).TotalDays )
 
    # Возвращаем значение
    return $daysLeft
}
catch {
    return -1
}

다음과 같이 밝혀졌습니다.

723일, 인증서 만료까지 거의 XNUMX년 남았습니다. 아주 최근에 Exchange 테스트 벤치에 대한 인증서를 재발급했기 때문에 그것은 논리적입니다.

쉬운 선택이었습니다. 아마도 누군가는 이것에 만족할 것이지만 우리는 더 많은 것을 원했습니다. 우리는 서버에 있는 모든 인증서 목록을 이름별로 가져오고 인증서가 만료될 때까지 남은 일수를 확인하는 작업을 스스로 설정했습니다.

두 번째 옵션, 다소 더 복잡합니다.

다시 에이전트 구성을 편집하고 거기에 ExternalParameter가 있는 줄 대신 다른 두 가지를 작성합니다.

ExternalList = HTTPS.CertificateNames: powershell.exe -File "serversharenetxms_CertExternalNames.ps1"
ExternalParameter = HTTPS.CertificateExpireDate(*): powershell.exe -File "serversharenetxms_CertExternalParameter.ps1" -CertificateId "$1"

В 외부목록 우리는 문자열 목록을 얻습니다. 우리의 경우에는 인증서 이름이 포함된 문자열 목록입니다. 우리는 스크립트를 사용하여 이러한 줄의 목록을 받게 됩니다. 목록 이름 - HTTPS.인증서 이름.

NetXMS_CertNames.ps1 스크립트:

#Список возможных имен сертификатов
$nameTypeList = @(
        [System.Security.Cryptography.X509Certificates.X509NameType]::SimpleName,
        [System.Security.Cryptography.X509Certificates.X509NameType]::DnsName,
        [System.Security.Cryptography.X509Certificates.X509NameType]::DnsFromAlternativeName,
        [System.Security.Cryptography.X509Certificates.X509NameType]::UrlName,
        [System.Security.Cryptography.X509Certificates.X509NameType]::EmailName,
        [System.Security.Cryptography.X509Certificates.X509NameType]::UpnName
)
 
#Ищем все сертификаты, имеющие закрытый ключ
$certList = @( Get-ChildItem -Path 'Cert:LocalMachineMy' | Where-Object { $_.HasPrivateKey -eq $true } )
 
#Проходим по списку сертификатов, формируем строку "Имя сертификата - Дата - Thumbprint" и возвращаем её
foreach ($cert in $certList) {
    $name = '(unknown name)'
    try {
        $thumbprint = $cert.Thumbprint
        $dateExpire = $cert.NotAfter
        foreach ($nameType in $nameTypeList) {
            $name_temp = $cert.GetNameInfo( $nameType, $false)
            if ($name_temp -ne $null -and $name_temp -ne '') {
                $name = $name_temp;
                break;
            }
        }
        Write-Output "$($name) - $($dateExpire.ToString('dd.MM.yyyy')) - [T:$($thumbprint)]"
    }
    catch {
        Write-Error -Message "Error processing certificate list: $($_.Exception.Message)"
    }
}

그리고 이미 외부 매개변수 ExternalList 목록에서 행을 입력하고 출력에서 ​​각각에 대해 동일한 일수를 얻습니다. 식별자는 인증서의 지문입니다. HTTPS.CertificateExpireDate에는 이 변형에 별표(*)가 포함되어 있습니다. 이는 외부 변수(CertificateId만 허용)를 허용하는 데 필요합니다.

NetXMS_CertExpireDate.ps1 스크립트:

#Определяем входящий параметр $CertificateId
param (
    [Parameter(Mandatory=$false)]
    [String]$CertificateId
)
 
#Проверка на существование
if ($CertificateId -eq $null) {
    Write-Error -Message "CertificateID parameter is required!"
    return
}
 
#По Thumbprint из строки в $CertificateId ищем сертификат и определяем его Expiration Date 
$certId = $CertificateId;
try {
    if ($certId -match '^.*[T:(?<Thumbprint>[A-Z0-9]+)]$') {
        $thumbprint = $Matches['Thumbprint']
        $certificatePath = "Cert:LocalMachineMy$($thumbprint)"
         
        if (Test-Path -PathType Leaf -Path $certificatePath ) {
            $certificate = Get-Item -Path $certificatePath;
            $certificateExpirationDate = $certificate.NotAfter
            $certificateDayToLive = [Math]::Floor( ($certificateExpirationDate - [DateTime]::Now).TotalDays )
            Write-Output "$($certificateDayToLive)";
        }
        else {
            Write-Error -Message "No certificate matching this thumbprint found on this server $($certId)"
        }
    }
    else {
        Write-Error -Message "CertificateID provided in wrong format. Must be FriendlyName [T:<thumbprint>]"
    }
}
catch {
    Write-Error -Message "Error while executing script: $($_.Exception.Message)"
}

서버의 데이터 수집 구성에서 새 매개변수를 생성합니다. 매개변수에서 우리는 HTTPS.인증서만료일(*) 목록에서 (주의!) 별표를 다음으로 변경하세요. {사례}. 이 중요한 점을 통해 각 인스턴스(인증서)에 대해 별도의 카운터를 생성할 수 있습니다. 나머지는 이전 버전과 같이 채워집니다.

카운터를 생성할 항목을 얻으려면 인스턴스 검색 탭의 목록에서 에이전트 목록을 선택하고 목록 이름 필드에 스크립트의 외부 목록 이름(HTTPS.CertificateNames)을 입력해야 합니다.

거의 준비가 되었습니다. 조금 기다리거나, 완전히 기다릴 수 없는 경우 Poll > Configuration 및 Poll > Instance Discovery를 강제 실행하세요. 결과적으로 우리는 유효 기간이 있는 모든 인증서를 얻습니다.

뭐가 필요하세요? 글쎄, 네, 완벽주의의 벌레만이 카운터 이름으로 슬픈 눈으로 이 불필요한 지문을 바라보며 기사를 끝내지 못하게 합니다. 이를 공급하려면 카운터 속성을 다시 열고 인스턴스 검색 탭의 "인스턴스 검색 필터 스크립트" 필드에 다음과 같이 작성된 항목을 추가하세요. NXSL (NetXMS 내부 언어) 스크립트:

instance = $1;
 if (instance ~= "^(.*)s-s[T:[a-zA-Z0-9]+]$")
 {
 return %(true, instance, $1);
 }
 return true;

이는 지문을 필터링합니다.

필터링된 내용을 표시하려면 일반 탭의 설명 필드에서 CertificateExpireDate: {instance}를 다음으로 변경합니다. 인증서 만료 날짜: {인스턴스 이름}:

이것이 바로 KDPV의 결승선입니다.

아름다움인가?

남은 일은 인증서가 만료될 때 이메일로 도착하도록 경고를 설정하는 것입니다.

1. 먼저 카운터 값이 설정한 임계값으로 감소할 때 활성화할 이벤트 템플릿을 만들어야 합니다. 안에 이벤트 구성 다음과 같은 이름을 가진 두 개의 새 템플릿을 만들어 보겠습니다. 인증서ExpireDate_Threshold_Activate 경고 상태:

및 이와 유사한 인증서ExpireDate_Threshold_Deactivate 정상 상태.

2. 그런 다음 카운터 속성으로 이동하여 임계값 탭에서 임계값을 설정합니다.

여기서 생성된 이벤트 CertificateExpireDate_Threshold_Activate 및 CertificateExpireDate_Threshold_Deactivate를 선택하고 샘플 수(Samples)를 1로 설정합니다(특히 이 카운터의 경우 더 이상 설정할 필요가 없음). 예를 들어 값은 30(일)입니다. 이벤트 반복 시간. 프로덕션 인증서의 경우 하루에 한 번(86400초) 설정했습니다. 그렇지 않으면 알림에 빠져들 수 있습니다(그런데 한 번 발생하여 주말 동안 사서함이 가득 찼습니다). 디버깅 시간의 경우 예를 들어 60초처럼 낮게 설정하는 것이 좋습니다.

3. 있음 액션 구성 다음과 같이 알림 편지 템플릿을 만듭니다.

%m, %S 등이 모두 해당됩니다. — 매개변수의 값이 대체될 매크로입니다. 이에 대한 자세한 내용은 수동 NetXMS.

4. 마지막으로 이전 요점을 결합하여 이벤트 처리 정책 알람이 생성되고 편지가 전송되는 규칙을 만듭니다.

정책을 저장하면 모든 것을 테스트할 수 있습니다. 확인하기 위해 임계값을 더 높게 설정해 보겠습니다. 가장 가까운 인증서가 723일 후에 만료되므로 확인하기 위해 724로 설정한 결과 다음과 같은 알람이 발생합니다.

이 이메일 알림은 다음과 같습니다.

이제 그게 전부입니다. 물론 대시보드를 설정하고 그래프를 작성하는 것도 가능하지만 인증서의 경우 이는 예를 들어 프로세서나 메모리 로드 그래프와는 달리 다소 의미가 없고 지루한 직선일 수 있습니다. 그러나 이것에 대해서는 나중에 더 자세히 설명하겠습니다.

출처 : habr.com