Mettre en place une notification par email de l'expiration des certificats SSL / TLS
Les certificats SSL / TLS sont validés par les autorités de certifications pour une durée définie, généralement 1 an. Une la date d'expiration dépassée, le certificat est considéré comme invalide par les clients (navigateurs Web, clients mails, etc.). Être alerté de l'arrivée à expiration des certificats d'un serveur permet d'anticiper les renouvellements.
Ce guide est testé sur:
- Debian 6.0 Squeeze
Installation
Installez le logiciel OpenSSL:
command apt-get install openssl
Installez le script de vérification des certificats (fournit généreusement par Prefetch Technologies):
command wget 'http://prefetch.net/code/ssl-cert-check' \
--quiet --output-document='/usr/local/bin/ssl-cert-check'
command chmod +x '/usr/local/bin/ssl-cert-check'
Mettez en place le script vérifiant la validité des certificats SSL du serveur:
command wget 'https://raw.github.com/biapy/howto.biapy.com/master/various/check-active-certs' \
--quiet --no-check-certificate --output-document='/etc/cron.weekly/check-active-certs'
command chmod +x '/etc/cron.weekly/check-active-certs'
Par défaut, l'email est envoyé au compte root du serveur. Pour modifier cela, éditez la valeur ALERT_EMAIL au début du fichier /etc/cron.weekly/check-active-certs.
La vérification est hebdomadaire. Seuls sont vérifiés les certificats utilisés par ces serveurs:
- Apache 2
- LigHTTPd
- Exim 4
- Cyrus Imap
- vsFTPd
Remerciements
- Merci à Prefetch Technologies (en) pour Proactively Handling Certificate Expiration With ssl-cert-check (en).
- Merci à Sébastien sur Tux-planet (fr) pour Vérifier automatiquement l'expiration de certificats SSL (fr).