Slut med kaos om udløbende SSL-certifikater: Automatiser overvågning med Prometheus
Slut med panik over udløbende SSL-certifikater: Automatiser overvågning med Prometheus
Forestil dig: Klokken er 2 om natten fredag. Alarmen lyder. En vigtig tjeneste er nede. Efter stresset jagt finder du årsagen: Et SSL-certifikat udløb for tre dage siden. Ingen opdagede det før brugerne begyndte at klage. Kender du det?
Det sker i produktion hele tiden. Men det er let at undgå. Løsningen er automatiseret overvågning af certifikater – direkte i din observability-stack.
Manual styring koster for meget
De fleste teams holder øje med SSL-certifikater på gammeldags vis:
- Excel-ark, der bliver forældede
- Kalenderpåmindelser, der glemmes
- Manuelle openssl-kommandoer midt om natten
- Dyrt registrar-notifikationer i spam-mappen
Problemet? Manglende oversigt. Med dusinvis af tjenester på tværs af miljøer bliver manual tracking en svaghed. Et glemt certifikat kan vælte alt – udfald, fejl i health checks og utilfredse kunder.
Certifikat-exporters: Prometheus i højsædet
Den smarte løsning er at bygge overvågning ind i din eksisterende setup. Prometheus-exporters til X.509-certifikater giver dig:
Live metrics på certifikater: Følg ikke kun udløbsdatoer, men også udstedelse, gyldighedsperiode og chain-sundhed over hele infrastrukturen.
Fungerer overalt: Kubernetes, Docker eller bare metal – exporteren finder og overvåger certifikater uden besvær.
Smarte alarmer: Sæt regler i Prometheus, der slår til ved 30 dage før udløb til planlægning, eller 7 dage for akut handling.
Historik til optimering: Gem data over tid. Analysér mønstre i fornyelser og strømlin dit certifikat-livscyklus.
Kubernetes i fokus – men fleksibel til alt
Exporters er lavet til Kubernetes, hvor de fleste containere kører. De spotter certifikater i:
- Kubernetes Secrets med TLS
- Mountede volumes
- Service mesh som Istio eller Linkerd
- Ingress-controllere med HTTPS
Men de står alene også. Legacy på VM'er? Kør dem som binærfiler. En enkelt server? Deploy direkte.
Sådan kommer det i gang
Flowet er simpelt:
- Udrul exporteren som sidecar i Kubernetes eller service på hosten
- Punktér certifikat-stier – eller lad auto-discovery tage over
- Kobl til Prometheus for metrics-scraping
- Opret alarmer med Prometheus-query-sprog
- Vis i Grafana – super anbefalet
Du får metrics som:
x509_certificate_not_before{filename="/etc/ssl/certs/example.crt"} 1704067200
x509_certificate_not_after{filename="/etc/ssl/certs/example.crt"} 1735689600
x509_certificate_days_remaining{filename="/etc/ssl/certs/example.crt"} 365
Kombinér med en regel som x509_certificate_days_remaining < 30. Det er din sikkerhedsnet.
Observability som forsikring
Certifikat-overvågning handler om mere end at undgå katastrofer. Det er grundlaget for fuld synlighed. Når alt i infrastrukturen er synligt og alarmbart, forebygger du fejl i stedet for at reagere.
Hos NameOcean ser vi det overalt. Uanset DNS, SSL eller cloud hosting vinder teams, der automatiserer oversight. Regneark holder til fem ting. Mennesker til ti. Automatik til millioner.
Ting at tænke over før start
Tjek rettigheder: Exporteren skal læse certifikater. Kubernetes RBAC og fil-rettigheder er nøglen.
Vælg thresholds klogt: Undgå 90-dages alarmer – det giver fatigue. Balancér planlægningstid og urgency.
Kombinér med rotation: Brug cert-manager i Kubernetes. Overvågning tjekker, om det virker.
Håndter wildcards og SAN: Moderne certifikater dækker flere domæner. Sørg for, at overvågningen fanger det.
Vejen til fejlfri certifikat-håndtering
Udløb er et løst problem. Værktøjerne er open source og passer perfekt til Prometheus. Spørgsmålet er ikke "kan jeg?" – det er "hvorfor venter jeg?"
Det tager en eftermiddag at skifte fra manual til auto. Roen derefter? Uprisselig.
Start småt: Vælg din vigtigste tjeneste, udrul exporter, sæt én alarm. Føl lettelsen ved 24/7-overvågning. Skaler derefter.
Din fremtidige 2-AM-jeg takker dig.
Hos NameOcean elsker vi at hjælpe udviklere og ops-teams med solid, overskuelig infrastruktur. Nysgerrig på at koble certifikat-håndtering til domæne-registrering og cloud hosting? Tjek vores platform og se, hvordan Vibe Hosting gør dit setup enklere.