124 lines
4.1 KiB
Markdown
124 lines
4.1 KiB
Markdown
# Zabbix Template – TLS-Zertifikatüberwachung für Mail- und Webdienste
|
||
|
||
Dieses Zabbix-Template ermöglicht eine umfassende Überwachung von TLS-Zertifikaten, die für Webserver (HTTPS) sowie E-Mail-Dienste wie SMTP und IMAP verwendet werden. Es überprüft automatisch die Gültigkeit der Zertifikate, erkennt abgelaufene oder ungültige Zertifikate und gibt rechtzeitig Warnungen aus, bevor ein Zertifikat abläuft.
|
||
|
||
|
||
|
||
## Funktionen
|
||
|
||
Das Template bietet eine Vielzahl nützlicher Funktionen zur Zertifikatsüberwachung:
|
||
|
||
- Automatische Prüfung der TLS-Zertifikatsgültigkeit (gültig oder ungültig)
|
||
- Frühzeitige Benachrichtigung, wenn ein Zertifikat kurz vor dem Ablauf steht
|
||
- Unterstützung mehrerer Protokolle, darunter HTTPS, SMTP und IMAP
|
||
- Integration von Triggern für unterschiedliche Zustände, wie z. B. abgelaufene oder bald ablaufende Zertifikate
|
||
- Konfigurierbare Schwellenwerte und Parameter mithilfe von Makros auf Host-Ebene
|
||
- Unterstützung moderner TLS-Funktionen wie STARTTLS, Server Name Indication (SNI) und benutzerdefinierbarer Verbindungszeitüberschreitungen (Timeouts)
|
||
|
||
|
||
|
||
## Aufbau und enthaltene Dateien
|
||
|
||
Das Paket besteht aus folgenden zentralen Komponenten:
|
||
|
||
- **`templatemailcert_check.xml`**: Das eigentliche Zabbix-Template, das über das Webinterface importiert wird.
|
||
- **`userparameters_mailcert_check.conf`**: Konfigurationsdatei für den Zabbix-Agent, welche benutzerdefinierte Prüfbefehle bereitstellt.
|
||
- **`mailcert_check.sh`**: Ein Bash-Skript, das die Zertifikatsinformationen abfragt und verarbeitet.
|
||
|
||
|
||
|
||
## Installationsanleitung
|
||
|
||
### Schritt 1: Skript installieren
|
||
|
||
Kopiere das Bash-Skript in ein geeignetes Verzeichnis auf dem Zielsystem und mache es ausführbar:
|
||
|
||
```bash
|
||
sudo cp mailcert_check.sh /usr/local/bin/
|
||
sudo chmod +x /usr/local/bin/mailcert_check.sh
|
||
```
|
||
|
||
### Schritt 2: Zabbix-Agent konfigurieren
|
||
|
||
Die Datei mit den benutzerdefinierten Parametern muss in das Konfigurationsverzeichnis des Zabbix-Agenten kopiert werden. Anschließend ist ein Neustart des Agenten erforderlich:
|
||
|
||
```bash
|
||
sudo cp userparameters_mailcert_check.conf /etc/zabbix/zabbix_agentd.d/
|
||
sudo systemctl restart zabbix-agent
|
||
```
|
||
|
||
### Schritt 3: Template in Zabbix importieren
|
||
|
||
1. Melde dich im Zabbix-Frontend an.
|
||
2. Navigiere zu **Configuration → Templates**.
|
||
3. Klicke auf **Import**.
|
||
4. Wähle die Datei `template_mailcert_check.xml` aus und lade sie hoch.
|
||
5. Bestätige den Import.
|
||
|
||
### Schritt 4: Template einem Host zuweisen
|
||
|
||
1. Öffne im Zabbix-Frontend den gewünschten Host.
|
||
2. Gehe zum Reiter **Templates**.
|
||
3. Füge das Template **Template Mail Certificate Monitoring** hinzu.
|
||
4. Speichere die Änderungen.
|
||
|
||
|
||
|
||
## Konfiguration über Makros
|
||
|
||
Auf Host-Ebene lassen sich mithilfe von Makros die zu überwachenden Ziele und Parameter definieren. Hier ein Beispiel für die SMTP-Zertifikatsüberwachung:
|
||
|
||
```yaml
|
||
{$TLS_SMTP_DOMAIN} = mail.example.com
|
||
{$TLS_SMTP_PORT} = 587
|
||
{$TLS_SMTP_STARTTLS} = smtp
|
||
{$TLS_SMTP_SNI} = mail.example.com
|
||
{$TLS_SMTP_TIMEOUT} = 10
|
||
{$TLS_SMTP_UPDATEINTERVAL} = 3600
|
||
{$TLS_SMTP_EXPIRESWITHIN} = 14
|
||
```
|
||
|
||
Diese Makros ermöglichen eine flexible und gezielte Konfiguration pro Host.
|
||
|
||
|
||
|
||
## Beispielhafte Darstellung in Zabbix
|
||
|
||
Nach erfolgreicher Einrichtung werden im Zabbix-Frontend automatisch Items und Trigger erstellt. Dazu zählen unter anderem:
|
||
|
||
- Einträge zur Restlaufzeit (in Tagen) eines Zertifikats
|
||
- Statusmeldungen zu ungültigen oder bald ablaufenden Zertifikaten
|
||
- Trigger, die bei Erreichen der definierten Schwellenwerte Warnungen auslösen
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
## Manueller Test des Prüfskripts
|
||
|
||
Zur Überprüfung der Skriptfunktionalität kann ein manueller Aufruf wie folgt erfolgen:
|
||
|
||
```
|
||
/usr/local/bin/mailcert_check.sh expire mail.example.com 587/smtp mail.example.com 10
|
||
```
|
||
|
||
Dabei werden Domain, Port, Protokoll, SNI und Timeout übergeben.
|
||
|
||
|
||
|
||
## Kompatibilität
|
||
|
||
- Unterstützt wird **Zabbix ab Version 6.4**
|
||
- Abhängigkeiten: `bash`, `openssl`
|
||
|
||
|
||
|
||
## Lizenz
|
||
|
||
Dieses Projekt steht unter der **MIT-Lizenz** und kann frei verwendet, modifiziert und verteilt werden. |