Končete s nočními můrami kvůli expirovaným SSL certifikátům: Automatické monitorování přes Prometheus

Představte si to: půlnoční budík, kritický web nefunguje. Po hodině honby za chybou zjistíte, že SSL certifikát vypršel před čtyřmi dny. Uživatelé zuří, vy se potíte. Známé?

Takové situace se dějí denně. Dá se to ale úplně zabránit. Klíčem je automatické sledování certifikátů přímo v observability stacku.

Proč manuální správa selhává

Většina týmů řeší expirace staromódně:

• Excel tabulky, které rychle zastarávají
• Připomínky v kalendáři, co se zapomenou
• Rychlé openssl příkazy v panice
• E-maily od registrátora v spamu

Problém? Chybí přehled. Při desítkách služeb na různých serverech se manuál stane pastí. Jeden zapomenutý certifikát = výpadek, ztráta důvěry.

Certificate Exporters: Přímé do Prometheus

Řešení je jednoduché – zapojte specializované Prometheus exporty pro X.509 certifikáty. Získáte:

Živá data o certifikátech: Ne jen datum expirace, ale i vydání, délku platnosti a zdraví řetězce. Pro celou infrastrukturu.

Funguje všude: Kubernetes, Docker, holé servery – exporter to objeví sám.

Chytré alerty: Nastavte notifikace – 30 dní dopředu na plánování, 7 dní na akci.

Historie pro analýzu: Sledujte trendy, optimalizujte obnovy.

Zaměřeno na Kubernetes, ale univerzální

Exporty jsou navržené pro K8s, kde běží většina kontejnerů. Hledají certifikáty v:

• Kubernetes Secrets
• Volume mounty
• Service mesh (Istio, Linkerd)
• Ingress controllerech

A teď twist: běží i samostatně na VM nebo jednom serveru. Žádné výmluvy.

Jak to spustit krok za krokem

Postup je průhledný:

1. Nasazte exporter – jako sidecar v K8s nebo službu na hostu
2. Nastavte cesty k certifikátům (nebo nechte auto-discovery)
3. Připojte k Prometheus pro sběr metrik
4. Definujte alerty v PromQL
5. Vizualizujte v Grafaně – nutnost pro přehled

Příklady metrik:

x509_certificate_not_before{filename="/etc/ssl/certs/example.crt"} 1704067200
x509_certificate_not_after{filename="/etc/ssl/certs/example.crt"} 1735689600
x509_certificate_days_until_expiry{filename="/etc/ssl/certs/example.crt"} 365

Alert jako x509_certificate_days_until_expiry < 30 vás zachrání.

Observability jako pojistka

Monitorování certifikátů je víc než prevence výpadků. Jde o celkový přehled infrastruktury. Když vidíte vše, předvídáte problémy.

V NameOcean to vidíme na DNS, certifikátech i hostingu. Automatizace je cesta k úspěchu. Lidi zvládnou deset certifikátů, systémy miliony.

Na co si dát pozor před nasazením

• Oprávnění: Exporter musí číst soubory. RBAC a file perms jsou klíč.
• Práhory alertů: 90 dní = spam, 30/7 dní = ideál.
• Rotace certifikátů: Používejte cert-manager. Monitorování ověří úspěch.
• Wildcard a SAN: Sledujte multi-domain složitosti.

Cesta k nezničitelné správě certifikátů

Problém expirací je vyřešený. Open-source nástroje se integrují do Prometheus za pár hodin. Otázka zní: proč to ještě nemáte?

Začněte s jedním kritickým službou. Nasadíte exporter, jeden alert – a spíte klidně. Pak škálujte.

Vaše noční já vám poděkuje.

V NameOcean milujeme pomáhat devům a ops týmům budovat odolnou infrastrukturu. Chcete propojit certifikáty s doménami a cloud hostingem? Podívejte se na naši platformu a Vibe Hosting – zjednoduší vám to vše.