F5

Vérifier la validité d’un certificat SSL

Récemment nous avons constaté qu’on ne monitorait pas la validité des certificats SSL de nos StoreFront et Netscaler/F5) (on avait juste des alertes émanant des collègues de la sécu).

Un script PowerShell plus loin c’est chose faite 🙂 :

Les certificats ayant une date d’expiration inférieur à 30 jours apparaissent en warning 😉

Dans un prochain billet nous vous indiquerons comment remonter ces valeurs facilement dans Zabbix via un agent actif.

Pour utiliser le script il faut au préalable modifier ce dernier en ligne 2 afin de rentrer les urls à checker (si vous souhaitez modifiez le seuil d’alerte des 30 jours, modifiez la valeur “30” en ligne 33 du script.

CheckSslExp.ps1

Pour notre script nous nous sommes inspiré du post “How to read Certificates and CRLs using PowerShell” de nos collègues de NETWORKWORLD.

Erreur Web Interface : Invalid URI: The hostname could not be parsed.

Quoi de plus énervant que de retrouver des journaux Windows pollués d’erreurs à ne plus en finir, c’est dans ce contexte que nous avons trouvé certaines Web Interface.

Les Web Interface en questions (Windows 2008 Us R2, Web Interface 5.4) généraient l’Event ID 21002 toutes les 3 secondes :

Log Name:      Application
Source:        Citrix Web Interface
Event ID:      21002
Task Category: None
Level:         Error
Keywords:      Classic
Description:
Site path: C:\inetpub\wwwroot\Citrix\Site1.
Critical server error: System.UriFormatException: Invalid URI: The hostname could not be parsed.

Il ne reste plus qu’à trouver la source

Inutile de nous faire le coup du “mais où est ton Logstash, ElasticSearch et Kibana ou mieux ton SexiLog pour Citrix” 🙂

Un Wireshark après nous avons trouvé la cause, un cluster de F5 qui monitorait un Site Webi via un GET /Citrix/Site1/auth/login.aspx.

Une fois le monitor corrigé (via un Get sur le site webi /Citrix/Site1, sans auth/login.aspx) par nos collègues F5.

F5 et les accents sur une application publiée

Il y a quelques temps certains de nos utilisateurs rencontraient un message d’erreur (“This published application currently is not available – Try connecting again later“) lors du lancement d’une application via des Web Interface (5.4 us – Windows 2008 R2 sp1 us) positionnées derrière des F5.

En regardant le launch.ica on s’aperçoit que le nom de l’application comporte un Ã suivie d’un © en lieu et place d’un “é”, on comprend vite que le F5 réécrit le launch.ica et qu’il n’aime pas les é 🙂 .

Une fois le nom de l’application modifié (remplacement du é par un e) le launch.ica est correctement réécrit par le F5 et l’application se lance sans problème.

En attendant un correctif de chez F5, il vous faut supprimer les é dans le nom de vos applications 🙂 .

Les F5 en question étaient des 1600/3600 (BIG-IP 11.2.0 Build 2451.0 Hotfix HF1)