SSL Abfrage über openssl gibt falsche CN aus, Webabfrage (Nginx) geht

  • Guten Morgen


    Ich habe mal auf einem Testserver alles neu eingerichtet mit nginx und Let's Encrypt. Dies funktioniert auch. Wenn ich die Seiten aufrufe wird das korrekte Zertifikat angezeigt. CN und alles ist korrekt.


    Wenn ich nun aber in einem Monitoring System die Gültigkeit prüfe (Ich habe mal verschiedene getestet), oder die Abfrage openssl s_client -connect domain.com:443 verwende, so erhalte ich das Zertifikat welches der NGINX als erste Conf Datei findet (Alphabetisch hat es Domains mit A, B und D, er zeigt mir dann das erste mit A).


    Muss dies in NGINX oder sonst wo noch anders Konfiguriert werden damit auch so die korrekten Zertifikate angezeigt werden?


    Edit: Hier noch der nginx conf Block:


    Gruss und Danke


    Oliver

    PS. Falls jemand noch eine Idee hat wie man einen Server "spiegeln" könnte https://forum.netcup.de/admini…spiegeln-server-failover/ ;)

  • Browser sendet SNI, openssl s_client aber nicht?

    Ich denke das wird es genau sein. Hab da gerade zu wenig überlegt. Mit dem Parameter -servername domain.com zeigt er auch das richtige an. Hätte nur gedacht das die Monitoringtools dies direkt so abfragen. Daher dachte ich erst an einen Konfigurationsfehler.


    Aber ich muss mir eh mal noch die gängigen Monitoring Tools ansehen. Bisher habe ich nur mal einen ersten Test mit Icinga 2 gemacht.

  • Wie von mainziman erwähnt, könnte "openssl s_client -servername domain.com -connect domain.com:443" hier Abhilfe schaffen…

    (Edit: Upps, ein klitzekleinwenig zu langsam. :))

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • (Edit: Upps, ein klitzekleinwenig zu langsam. )

    Vielen dank auch für deine Antwort. Dies schafft die nötige Abhilfe. Ich teste nun mal noch Munin und check_mk. Die SSL Überwachung bringt mit in Icinga 2 soweit nichts wenn er das falsche Zertifikat abruft bei der Standardadeinrichtung. Aber vom Aufbau hat es mir allgemein nicht so zugesagt.

  • Ich kann Nagios XI sehr empfehlen.

    Vielen Dank. Das schaue ich mir gerne an. Weisst du grad ob dieser auf einem VPS 200 G8 laufen würde? Denke wenn der mal wieder im Angebot kommt würde sich der gut machen als kleinerr Monitoring Server. Das letzte angebot von dem habe ich leider verpasst :)

  • Ja, hab es auf einem VPS 200 am Laufen, aber die unterstützen für den Monitoring-Server nur CentOS/RHEL.

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com

  • Ja, hab es auf einem VPS 200 am Laufen, aber die unterstützen für den Monitoring-Server nur CentOS/RHEL.

    Ok das ist sehr schade, da ich sämtliche Server auf Debian aufgebaut habe. Aber solange darauf ja nur das Monitoring läuft und die Monitoring clients Debian haben können ist es ja ok.

  • Klar, die Clients kannst du überall installieren. Die kostenlose Version erlaubt aber nur bis zu 7 Hosts, die überwacht werden können.


    Nutze normalerweise auch nur Debian und Ubuntu - auf dem Monitoring zwangsläufig CentOS 7.


    Installations-Guide: https://assets.nagios.com/down…3208-500900975.1543143198

    Download der kostenlosen Version: https://www.nagios.com/downloads/nagios-xi/linux/

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com

  • Klar, die Clients kannst du überall installieren. Die kostenlose Version erlaubt aber nur bis zu 7 Hosts, die überwacht werden können.

    Ok vorläufig reicht das ohne Probleme. Wobei bei den Preisen die Nagios kostet erstelle ich dann lieber ein zweiten Monitoringserver wenn ich mal wirklich mehr haben sollte :D

  • Sorry da muss ich mich nun korrigieren. Getestet habe ich als erstes Monitoring das von mfnalex vorgeschlagene Nagios. Dort hatte ich eben das Problem das er mir das falsche SSL Zertifikat bei der Domain überwacht (Wie im Eingangspost geschrieben).

    Muss ich damit doch ein Konfigurationsfehler auf dem Server suchen? Der Browser aber auch https://www.ssllabs.com/ssltest/ zeigen jeweils die richtigen Zertifikate. Nur nagios nicht. Ggf muss ich mal doch noch ein Versuch mit Icinga2 machen da ich die beiden wohl verwechselt habe. Aber als erstes teste ich nun mal noch check_mk

  • Sorry da muss ich mich nun korrigieren. Getestet habe ich als erstes Monitoring das von mfnalex vorgeschlagene Nagios. Dort hatte ich eben das Problem das er mir das falsche SSL Zertifikat bei der Domain überwacht (Wie im Eingangspost geschrieben).

    Muss ich damit doch ein Konfigurationsfehler auf dem Server suchen? Der Browser aber auch https://www.ssllabs.com/ssltest/ zeigen jeweils die richtigen Zertifikate. Nur nagios nicht. Ggf muss ich mal doch noch ein Versuch mit Icinga2 machen da ich die beiden wohl verwechselt habe. Aber als erstes teste ich nun mal noch check_mk

    Welches Nagios .pl verwendest Du denn? Wahrscheinlich hast Du mehrere Servernamen im Zertifikat und das Skript übergibt den Servernamen nicht.

  • Hi


    Vielen Dank eripek für deine Antwort. Installiert habe ich unterdessen Check_MK "check-mk-raw-1.5.0p9_0.stretch_amd64.deb". Oder was meinst du mit PL? Ich kann gerne auch nochmals Nagios Installieren. Ich habe bei beiden das selbe Problem.

    Bei Check_MK versuche ich auch per TCP Port 443, erhalte dort jedoch ebenfalls bei allen Einstellungen immer das falsche Zertifikat geprüft.


    Wahrscheinlich hast Du mehrere Servernamen im Zertifikat und das Skript übergibt den Servernamen nicht.

    Ja das habe ich: Ich habe pro Domain eine Conf Datei mit mehreren Blöcken. Jeweils zwei Blöcke hören auf den Port 443:

    Ist dies falsch?


    Gruss


    Oliver

  • Sorry kann nicht mehr bearbeiten. Habe die Zertifikatinformationen nicht fertig gepostet. Ich habe zwei arten von SSL Zertifikate. Beide von Let's Encrypt.

    Die einen haben meist zwei Domains. CN: domain.com, und die beiden DNS Name (Zertifikatsgegenstand-Alternativ-Name) domain.com und http://www.domain.com

    Die anderen Zertifikate sind Wildcard: CN: domain.com, und die DNS Name: (Zertifikatsgegenstand-Alternativ-name) *.domain.com und domain.com

  • mfnalex Danke. Ich versuche das gleich sobald die nagios Installation fertig ist. Wo finde ich denn die Einstellung? Ich habe bei mersten Test vorallem den Konfigurationsassistenten gefunden und habe es dort eingerichtet

  • Entweder mit dem Website-Assistenten (glaube so hieß das), oder direkt manuell über den CCM.

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com