[Check_mk (deutsch)] Prüfung des SSL-Zertifikats

Hallo alle zusammen,

ich habe einen Server mit einer festen IP. Auf diesem betreibe ich mittels nginx vHosts mehrere Webseiten. Einige der Hosts haben ein SSL-Zertifikat.

Ich habe einen Check der SSL-Zertifikate eingerichtet (HTTP-Service):

•      Age: 14
  

•      Check Certificate of different IP / DNS-Name: Servername des jeweiligen vHosts
  

Zusätzlich habe ich den gleichen Check noch mittels TCP-Check durchführen lassen:

•      TCP-Port: 443
  

•      DNS Hostname: Servername des jeweiligen vHosts
  

•      SSL Certificate Validation: 14 days
  

Das Problem ist, dass immer das SSL-Zertifikat des ersten Hosts geprüft wird und anscheinend die Angabe des Servernamens ignoriert wird. Zur besseren Erklärung:

Wir nehmen an es gibt die vhosts aaa.org, bbb.org und ccc.org. Ohne Angabe eines default-Werts in der nginx-Config wird von allen Checks das Zertifikat des Hosts aaa.org geprüft, auch wenn als Servername bbb.org oder ccc.org angegeben wurde (bei HTTP-Check und TCP-Check). Setze ich jetzt bei ccc.org das Keywort default im listen-Parameter, wird von allen Checks, unabhänging vom Hostname, das Zertifikat des vHosts ccc.org geprüft.

Gibt es hier einen Bug? Habe ich etwas übersehen?

Ich setze check_mk in der Version 1.2.6p12 ein.

Viele Grüße,

Marc Becker

Hi,

Du musst die Option
Enable SSL/TLS hostname extension support (SNI)
im http check aktivieren.
Sonst wird beim SSL Handshake der angefragte Hostname nicht übertragen und es kommt das Default Zertifikat zurück. Näheres siehe hier: https://de.wikipedia.org/wiki/Server_Name_Indication

Ich gehe mal davon aus, dass es diese Option auch in der 1.2.6 schon gab, habe hier aber nur eine 1.2.8, bin also nicht sicher.

Gruß

Udo

----- Ursprüngliche Mail -----