Nagios check_ssl_cert錯誤：SSL_CERT CRITICAL：錯誤：驗證深度爲6

我正在設置Nagios/Icinga監控系統來監控我的環境。我想通過check_ssl_cert監控我的SSL證書，因爲它不適用於所有網站。Nagios check_ssl_cert錯誤：SSL_CERT CRITICAL：錯誤：驗證深度爲6

我的命令：

/usr/lib/nagios/plugins/check_ssl_cert -c 7 -w 28 -H 141.85.37.43 -r /etc/ssl/certs/

回報：SSL_CERT CRITICAL: Error: verify depth is 6

（141.85.37.43僅僅是一個例子ADRESS，不是我自己的，但犯同樣的錯誤）。

，如果我嘗試

# openssl s_client -connect ftp.myDomain.de:443 
CONNECTED(00000003) 
140037719324328:error:14077438:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert internal  error:s23_clnt.c:741: 
--- 
no peer certificate available 
--- 
No client certificate CA names sent 
--- 
SSL handshake has read 7 bytes and written 320 bytes 
--- 
New, (NONE), Cipher is (NONE) 
Secure Renegotiation IS NOT supported 
Compression: NONE 
Expansion: NONE 
---

或

# curl https://ftp.myDomain.de:443 -v 
* About to connect() to ftp.myDomain.de port 443 (#0) 
* Trying 212.xxx.xxx.xxx... 
* connected 
* Connected to ftp.myDomain.de (212.xxx.xxx.xxx) port 443 (#0) 
* successfully set certificate verify locations: 
* CAfile: none 
    CApath: /etc/ssl/certs 
* SSLv3, TLS handshake, Client hello (1): 
* SSLv3, TLS alert, Server hello (2): 
* error:14077438:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert internal error 
* Closing connection #0 
curl: (35) error:14077438:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert internal error

我使用所謂ftp.myDomain.de一個Ubuntu系統上crushFTP。我可以使用它與https://ftp.myDomain.de沒有任何問題。該證書作爲.pem文件安裝並通過驗證vom Thawte。

我的證書有問題嗎？

來源

2013-07-26 Max

我與check_ssl_cert背後的開發人員取得了聯繫，他優化並實施了我的解決方案並更新了版本。

https://trac.id.ethz.ch/projects/nagios_plugins/wiki/check_ssl_cert

來源

2013-07-31 10:27:57 Max

我無法確定，因爲我沒有所有必要的細節，但看起來您的證書沒問題，只是它的身份驗證鏈對於check_ssl_cert來說太長，無法驗證它。

錯誤消息顯示「驗證深度爲6」。這意味着證書驗證鏈長度> 6個項目，而不是必須失敗。

圍繞線228和205 check_ssl_cert，你看到的代碼：在有限制的最大鏈長度測試

exec_with_timeout $TIMEOUT "echo 'Q' | $OPENSSL s_client ${CLIENT} ${CLIENTPASS} -connect $HOST:$PORT ${SERVERNAME} -verify 6 ${ROOT_CA} 2> ${ERROR} 1> ${CERT}"

注意-verify 6。如果您將其更改爲-verify 16（這可能是過度殺傷力，但應處理您的連鎖店），它很可能會起作用。

來源

2013-07-28 22:31:49

可悲的不是。驗證深度設置爲16，但這不是問題本身。是與ssl-v3的東西，看到我的「awnser」 – Max

我得到了一些東西。這與我的SSL-Certs有關。我需要檢查ssl version 3才能獲得工作結果。

Icinga plugins # openssl s_client -connect ftp.myDomain.de:443 -ssl3

我修改check_ssl_cert，並增加了新的PARAM -ssl定義版本，就像檢查HTTP提供：

http://pastebin.com/f46YQFg3（需要在那裏張貼，渴望stackoverflow.com）

，可與

Icinga plugins # /usr/lib/nagios/plugins/check_ssl_cert -c 7 -w 28 -H "ftp.myDomain.de" -r "/etc/ssl/certs/" --ssl 3 
SSL_CERT OK - X.509 certificate for 'ftp.myDomain.de' from 'Thawte DV SSL CA' valid until Jun 5 23:59:59 2015 GMT (expires in 676 days)|days=676;28;7;;

因此，應檢查我的問題是種解決，但我需要弄清楚的區別是什麼，以我的老 - 沒有worka一輪需要 - 證書，如果我需要改變那裏的東西？

來源

2013-07-29 11:26:33 Max

我碰到同樣的問題來到了一個新的Nagios的框，並試圖最新版本的check_ssl_cert沒有成功。

最終解決方案是安裝expect。

來源

2014-11-03 23:05:55 NWT

Nagios check_ssl_cert錯誤：SSL_CERT CRITICAL：錯誤：驗證深度爲6

回答

相關問題