Digital certificates monitoring

Monitorizar los certificados digitales instalados en los servidores WEB de una organización es una necesidad  básica para poder administrarlos correctamente.

CNM permite monitorizar la caducidad de los certificados digitales y planificar tareas para obtener la información relevante de los mismos de forma automatizada. También proporciona herramientas de descubrimiento sobre rangos de direcciones IP.

Para monitorizar la caducidad del certificado existen métricas ya incluidas en el sistema que obtienen el dato directamente de la información contenida en el propio certificado. Esto permite obtener los datos de caducidad en tiempo real y generar alertas en base a los criterios de tiempo que se estimen oportunos. 

Al margen la monitorización activa por parte de CNM,  también se incluyen de base alertas remotas basadas en los traps generados por fabricantes de balanceadores, aceleradores SSL u otros equipos similares como F5 Networks o Net Scaler. En este caso es el equipo remoto el que informa sobre la caducidad de sus certificados digitales.

CNM también incluye aplicaciones que permiten obtener la información relevante contenida en el certificado digital. Esto permite definir tareas periódicas de supervisión para que el administrador pueda hacer el análisis pertinente.

CADUCIDAD

CNM incluye métricas basadas en script que miden el tiempo que falta para que caduque un certificado SSL en horas y segundos

Están disponibles desde la rama de métricas de tipo proxy y son fácilmente localizables, ya sea filtrando por nombre o por grupo tecnológico (IPSERV.WWW).

Metricas de caducidad del certificado digital

Ambas métricas utilizan el script: linux_metric_ssl_certs.pl  que también se incluye de base en el sistema.

Script para obtener la métrica de caducidad de un certificado digital

Una vez aplicadas sobre el dispositivo, veremos una gráfica cómo la de la figura:

Grafica de la metrica de caducidad de un certificado SSL

Sobre éstas métricas se pueden aplicar monitores que generen alertas en función del tiempo que falte para que caduquen y con la antelación que defina el administrador.

Un ejemplo puede ser un monitor aplicado sobre la métrica de la figura que se llame "REVISAR CADUCIDAD CERTIFICADO DIGITAL " y que tenga  tres severidades:

    • Amarillo: Falta un mes para que caduque (v1<720).
    • Naranja: Falta una semana para que caduque (v1<168).
    • Rojo: Certificado caducado (v1<=0).

Mediante una vista se pueden agrupar todas las métricas de este tipo para tener una visión de conjunto tanto a nivel gráfico como de alertas.

Esto además tiene la ventaja de permitir que otros usuarios accedan exclusivamente a esta información sin necesidad de acceder al total de elementos monitorizados.

 Vista que agrupa la monitorización de mis certificados digitales

Por otra parte, a partir de las alertas producidas por los monitores definidos, se puede generar un informe de disponibilidad que nos muestre sobre un periodo de tiempo el impacto que han tenido estas alertas sobre nuestra infraestructura.

 Informe de disponibilidad de infraestructura de certif SSL

OBTENCIÓN DE INFORMACIÓN

Además de la monitorización basada en métricas de caducidad o alertas enviadas por los equipos remotos cuando sus certificados digitales hayan caducado o están próximos a caducar, CNM incluye varias aplicaciones para obtener los datos relevantes del certificado digital.

La primera proporciona información sobre los certificados digitales de los equipos seleccionados por el administrador de entre los dados de alta en el sistema.

La segunda permite buscar los certificados digitales presentes en un rango de direcciones IP especificado por el administrador.

Ambas se basan en el script: linux_app_ssl_certs.pl ya incluido en el appliance y se pueden planificar de forma periódica configurando una tarea sobre dichas aplicaciones.

 
Script para obtener la informacion de un certificado digital

Los datos proporcionados por cada una de ellas son:

  • IP del equipo consultado.
  • Versión del certificado.
  • Número de Serie del certificado.
  • Algoritmo de Firma del certificado.
  • Emisor del certificado.
  • Sujeto del certificado.
  • Fecha de inicio de validez del certificado.
  • Fecha de caducidad del certificado. 
  • Algoritmo de clave pública utilizado.
  • Longitud en bits de la clave.
  • Certificado en formato PEM.


Resultados de la aplicacion de captura de info sobre los certificados ssl

Servidores Gestionados

En general, las entidades gestionadas por CNM son dispositivos, definidos de forma unívoca por su dirección IP, que no es duplicable en el sistema. Para abordar situaciones como ésta, el sistema permite definir un servivio web como si de un dispositivo se tratara. En este caso,  diferentes elementos identificados por su nombre pueden existir aunque compartan una misma dirección IP.

Desde el punto de vista de inventario y gestión de nuestros activos de TI, definir un servicio web como parte del inventario permite sacar el máximo provecho a los campos de información definidos por el usuario.

Por otra parte, el sistema permite al administrador definir una tarea periódica para obtener la información de los certificados digitales correspondientes a los servicios web dados de alta en el sistema de forma automatizada.

Esta tabla dimámica de resultados le permitirán evaluar temas críticos a la hora de gestionar la calidad los certificados SSL de su organización como son:

  • Los datos propios del certificado y los relativos al DNS.

  • Si el certificado corresponde a la máquina en cuestión, validando si el hostname coincide con el "common name".

  • Revisar la cadena de certificación.

  • Comprobar si es un certificado autofirmado o si la CA es confiable.

  • Validar la fuerza del cifrado de la clave privada.

  • Evaluar la robustez del algoritmo de firma utilizado.

  • Comprobar si dispone de validación extendida (EV).

Auto-Descubrimiento

EL sistema incluye una de aplicación descubrimiento automático que examina rangos de direcciones IP en busca de los certificados digitales que puedan existir en los servidores encontrados.

El administrador debe duplicar la aplicación que se incluye por defecto  y parametrizarla para los rangos que desee y a partir de ahí planificarla como una tarea periódica o ejecutarla a voluntad.

Renovación de certificados

Otras posibles aplicaciones que complementan estas funcionalidades y que está previsto incluirlas en la plataforma, son aquellas que permitan automatizar al máximo el proceso de renovación de los certificados digitales y gestión y validación de los CSR.