NSFAQ (Not So Frequently Asked Questions)

Sembla que el procediment habitual per renovar un certificat per HTTPS a l'IIS es iniciar una petició de renovació, enviar-la a l'entitat certificadora (Verisign, per exemple), esperar l'arxiu de resposta i importar-ho dintre del teu IIS.

Però, què fer si ens envien la renovacio amb un CSR antic? Reps un email amb un tros del tipus:

Com importar això dintre del nostre IIS? S'han de seguir aquestes passes:

Primer exportem el certificat actual. Per fer-ho hem d'anar a les propietats del site, a l'apartat "Directory Security":

Iniciem l'assistent fent click a "Server Certificate" i anem a la següent pantalla:

Fem click a "Next" i anem a la següent pantalla:

On escollirem "Export the current certificate to a .pfx file". Despres ens demanara on ho volem guardar:

I una contrassenya per l'export. D'aquesta forma ja tenim el certificat exportat.

Si mirem el contingut de l'arxiu, veurem que es binari. Per convertir-ho al mateix format que el que hem rebut per email, podem fer servir openssl, amb aquesta comanda:

Ens demanarà la contrassenya que hem posat abans al .pfx, i ens demanarà una contrassenya per posar-li a l'arixu .pem resultant.
Si editem aquest fitxer amb qualsevol editor de text, veurem que conté un "certificate" delimitat per les clausules "BEGIN CERTIFICATE" y "END CERTIFICATE", exactament igual que el que ens han enviat per correu. Només hem de substituir el text de l'anterior certificat pel nou. Un cop ho tinguem, ho hem de tornar a la forma binaria que "enten" l'IIS. Per fer-ho, un altre cop amb openssl:

Ens demanarà la contrassenya que li hem posat al .pem, i una altra per posar-li al .pfx resultant.
Ara per posar-ho a l'IIS, primer hem de treure el que hi havia. A la plana de "Directory Security" d'abans hem d'iniciar l'assistent una altra vegada, però aquesta vegada escollir "Remove the current certificate":

Seguint "next next" acabarem treien el certificat antic:

I ara hem d'importar el certificat nou. En l'assistent veurem que ens ha aparegut una opció que abans no estava: "Import certificate from a .pfx file":

Ens demanarà quin fitxer volem importar, i haurem d'escollir el cert-new.pfx. Ens demanarà la contrassenya que hem posat, el port on volem que escolti (normalment deixarem el 443) i finalment haurem importat el certificat

Si mirem les propietats, veurem que ha canviat la data d'expiració. Ja tenim el certificat renovat!

Acabo de descobrir que a partir de debian lenny, i a Ubuntu/KUbuntu (no sé si a la 8.04 hi era, pero a la 8.10 segur que hi és), l'aplicacio winexe, de la que vam parlar aqui i feiem servir, per exemple, en els nostres scripts per matar processos o aconseguir una shell remota, s'instal·la amb el paquet wmi-client. És a dir, que per instal·lar-ho només haurem de fer:

I llestos! Suposo que per SuSE i RedHat tambe deu estar empaquetada... algú m'ho pot confirmar?

Si volem comprovar des de la nostra consola linux el registre d'un servidor windows (sense haver de connectar-nos-hi per terminal server, podent fer un grep dels resultats, etc, etc, etc), aqui tenim la eina!

Els paràmetres que passem al psloglist son:
-d 1 perquè només tregui els logs de l'últim dia (no volem que ens matxaqui a logs)
-f we perquè només apareguin warnings i errors (normalment son els únics que interessen)
$2 aquest es el segon parametre que li passem. Si volem veure nomes el registre "application", o "system" (que son habitualment els que interessen) només ho has d'indicar

En la linia en la que estavem en posts anteriors , si hem plantat la llavor amb el psexec, ara fer utilitats es senzillissim. Tres exemples:

winshell.sh
Amb aquesta utilitat aconseguim un shell al servidor windows que volguem. No fa servir el psexec perque no li cal, el cmd esta al path.

wininfo.sh
Amb aquesta utilitat podem aconseguir informació sobre el servidor. Memòria RAM física, versio de SO, uptime, numero de processadors, freqüència dels mateixos, i el driver de la tarja de video. Aquest últim detall sembla de poca importància, serveix per saber si una màquina es virtual o física. Si el driver es quelcom com "VMware SVGA II", aleshores es una màquina virtual. Si el driver es quelcom com "ATI Technologies Inc. 3D RAGE IIC PCI", aleshores es una màquina física.

winkill.sh
Com el seu nom indica, serveix per matar algun procés de windows (prèviament podem haver sabut el pid fent servir el winps.sh).

La següent missió era fer scripts que executessin les diferents pstools remotament. Vaig començar fent-ne un per cada, pero vaig trobar que tots compartien molta part de codi, així que vaig decidir crear un script generic, psexec.sh (en "honor" al psexec de les pstools), al que li poguessim passar el nom del servidor i la eina que voliem executar, amb els seus parametres. I després l'unic que ens quedaria seria crear un wrapper per cada comanda que ens fes la feina mes còmoda.

El script ha de comprovar si les credencials del fitxer són bones, i demanar-ne d'altres si no ho són. Un cop autenticat, ha de comprovar si existeixen les pstools o no, i copiar-les en cas que no.

En la historia completa podreu veure el codi del psexec.sh i d'un wrapper d'exemple, el winps.sh. Recordeu que per funcionar, necessiten dels fitxers winvars.sh i cp_pstools.sh, que apareixien en l'entrada anterior.

En la línia en la que anàvem... Què passa si volem fer servir les pstools en 50 servidors? Una idea és crear una unitat compartida i que tots les executin des d'allà. Pero si tenim alguns en unes xarxes, unes en unes altres (fins i tot en DMZ), amb dominis i sense... No podria haver alguna forma còmoda de copiar-los?

Doncs per aquest motiu he creat aquest petit script, que fa exactament això: copiar les pstools al servidor que volguem. Primer munta la unitat cifs (amb smbmount), després copia els fitxers i després la desmunta.

Està pensat per ser cridat des d'altres scripts. Per exemple, si fem un "winps", primer que comprovi si estan les pstools instal·lades, i si no ho estan, que les copii. Per això, posarem un fitxer de variables que puguin fer servir tots els scripts, de forma que si volem canviar algun parametre no haguem de modificar-los tots. A aquest fitxer li direm "winvars.sh".

En l'article complet podeu mirar el codi i descarregar el fitxer.

Intentes connectar-te via remote desktop (terminal server) al servidor, però et trobes que ja hi ha gent connectada. El maleït missatge:

Què fer en aquest cas? Doncs molt senzill. Donat que tenim la nostra flamant eina winexe , podem fer un petit script que ens faciliti la vida:

L'arxiu "secretfile" és opcional, és per no haver de posar usuari i contrassenya. El seu contingut és aquest:

Es un script sense gaire control d'errors, pero et permet veure qui hi ha connectat:

En aquest servidor ja no s'hi pot entrar. Veiem que tothom esta en estat "disconnected", amb la qual cosa no hi ha ningú treballant. Escollim l'usuari que ens caigui pitjor, i el fem fora:

Et voilà! ja tenim una sessió lliure per connectar-nos a administrar aquest servidor.

Evidentment és molt millor que tothom tanqui el terminal server quan acabi de treballar. Però si has de compartir servidors amb despistats, t'has de buscar la vida...

M'he trobat que executant les pstools directament des de consola, sense entorn gràfic (en el meu cas, fent servir winexe ), es quedava aturat, com penjat. Fent la prova, i connectant-me via remote desktop al servidor, i executant-les a mà, apareix una finestreta amb una EULA (llicencia d'ús) que s'ha d'acceptar. És a dir, que només s'ha de fer click en "Ok, I agree".

En el post anterior en el que parlàvem del winexe, explicàvem com executar comandes del shell de windows mitjançant la nostra consola linux. La intenció original era engegar i aturar serveis ( net start; net stop), però un cop tenim el shell a windows podem anar més enllà i fer moltes més coses. Per això podem fer servir les pstools .

Quan detectes a la teva consola de nagios que un dels serveis de windows està aturat, moltes vegades voldries afegir un event_handler que, en detectar que està aturat, intentés engegar-lo automàticament.

Amb samba fa temps que està previst que incloguin alguna forma de controlar els serveis (un net stop o un net start ), pero no he trobat enlloc que hagi funcionat mai.

Hi ha una eina molt útil: winexe. Amb ella no només es poden engegar i aturar els serveis de windows, sinò que es pot executar qualsevol comanda, fins i tot tenir un shell de windows dintre del teu linux, tan senzill com: