Let's try 外形監視!! -SSL証明書チェック編-

Last updated at 2024-11-06Posted at 2024-11-06

運営されているサイトやサービスでSSL証明書を使っていると思いますが、有効期限前に通知欲しいですよね？New Relic Syntheticを使ってSSL証明書の期限切れ・有効性を簡単かつ定期的にチェックする方法を解説します！

はじめに

New Relic のSyntheticは、定期的にさまざまなエリアから状況を確認することが可能な外形監視の機能です。
ユーザがアクセスするWebサイトにおいて、Webサイトのセキュリティ向上やアクセス解析の精度向上、通信の効率化や信頼性の向上など様々な観点からHTTPS通信はほぼ必須です。そのためSSL証明書を導入するケースが増えていますが、セキュリティの観点から有効期限が設けられており、運用の中で有効なSSL証明書に更新し続けることが重要です。
この記事ではこのSSL証明書の有効性を定期的にチェックすることができる、Syntheticの機能の一つ「Certificate Check監視(SSL証明書監視)」について解説したいと思います。

外形監視の便利情報に関してはこちらのドキュメントもご参照ください
Syntheticモニタリング(外型監視)を利用した際に便利なドキュメント

Certificate Check 監視でできること

対象とするサイトのSSL証明書の期限が切れていないかをチェックすることが可能になります。
Monitor作成時に「有効期限何日前に通知をするか」設定することができるので、期限切れ前に余裕を持って更新手続きを進められるようになります。
ちなみにPing監視でもSSL証明書監視が可能ですが、こちらは有効な証明書かを確認するのみなので、期限数日前に通知を行いたいときはCertificate Check Monitorをお使いください。

Certificate Check 監視の設定方法

実際にNew Relic上で設定してみましょう

(1)Synthetic Monitor をクリック

(2)Monitor -> Create monitor をクリック

(3)SSL Cirtificate expiration -Certificate Check- を選択

(4)モニター名やチェック対象となるドメイン、期限よりどれくらい前に通知を行いたいかを指定して Select locationsをクリック
必要に応じてチェック期間(Period)やApdexの目標値などのオプション設定を追加する事も可能です

(5)チェックを行うロケーションを選択し「Save monitor」をクリック
ロケーションはグローバルに用意された場所から複数選択することが可能です。
社内システムなどインターネットに直接アクセスできないクローズドな環境で実行したい場合にも、プライベートロケーションにJob Managerを置くことでチェックが可能です(Job Managerに関しては別記事で紹介します)

これだけの設定でしばらくするとチェック結果が表示されるようになります！！
簡単！！

もし証明書の期日が「Days remaining until expiration」で設定した日にちを過ぎた場合、チェックは「失敗」になるのですぐにわかるようになっています
わかりやすい！

Synthetic の実行回数カウント

画面内に表示される「Available synthetic monitor checks」に関して補足です。
New Relicでは契約しているプランによって、Synthetic checkの実行可能上限が異なります。(ただしPing監視はカウントされません)
この実行テストを行なっている環境は「Pro」エディションのため上限が100万チェック/月になっています。
(エディションでの違いについてはこちらのドキュメントになります)

チェック数のカウント方法は簡単です
1時間のチェック回数 x 24時間 x 30日 x エリア数 です
例えば 1時間に1回、日本のみでのチェックの場合、 1 x 24 x 30 x 1 = 720になります
今回のMonitorに関しては、1日1回のため、日本のみのチェックの場合は「30」になります。