前几天,因为网易邮箱有部分域名的ssl证书过期,导致很多苹果用户的手机遇到疯狂弹窗,提示无法验证服务器身份。在我看来,这肯定是运维的锅了。

ssl证书过期时间监控_第1张图片

即使ssl厂商有续费提示,但是有可能因为人为的原因或者沟通的原因导致部分域名会忘记更换。所以每个https的域名都有必要添加上证书过期的提醒。(网易邮箱这次好像就是因为更换证书出现了遗漏)。

如果你正在使用prometheus的作为监控工具,那么做ssl证书过期的监控就很简单了。prometheus是使用blackbox_exporter来监控http的。而blackbox_exporter默认就会检查https域名证书的过期时间,并把证书到期那一刻的时间戳存储在probe_ssl_earliest_cert_expiry里。所以直接添加alert rules就行了。

  - alert: "ssl证书过期警告"
    expr: (probe_ssl_earliest_cert_expiry - time())/86400 <10
    for: 1h
    labels:
      severity: warn
    annotations:
      description: '域名{{$labels.instance}}的证书还有{{ printf "%.1f" $value }}天就过期了,请尽快更新证书'
      summary: "ssl证书过期警告"

如果用到是其他监控工具,可能就需要用脚本获取过期时间再监控了。
openssl命令可以获取证书的过期时间,方法如下:

echo |openssl s_client -servername www.baidu.com  -connect www.baidu.com:443 2>/dev/null | openssl x509 -noout -dates|awk -F '=' '/notAfter/{print $2}'
返回:
Jun 25 05:31:02 2020 GMT
如果想获取时间戳,方便判断,可以使用date命令转换
date +%s -d "$(echo |openssl s_client -servername www.baidu.com  -connect www.baidu.com:443 2>/dev/null | openssl x509 -noout -dates|awk -F '=' '/notAfter/{print $2}')"
返回:
1593063062