ribbybibby/ssl-exporter Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
ribbybibby/ssl-exporterribbybibby
导出SSL证书的Prometheus指标,支持从TCP、HTTPS、PEM文件、Kubernetes密钥和Kubeconfig文件等多种来源收集证书信息,通过证书字段标签实现信息仪表盘展示和灵活告警路由。
3 次收藏下载次数: 0状态:社区镜像维护者:ribbybibby仓库类型:镜像最近更新:1 年前
SSL Certificate Exporter
镜像概述和主要用途
SSL Certificate Exporter是一款用于导出SSL证书Prometheus指标的工具,支持从多种来源收集证书信息,包括TCP探针、HTTPS探针、PEM文件、Kubernetes密钥和Kubeconfig文件。指标带有证书字段标签,可用于构建信息仪表盘和实现灵活的告警路由。
核心功能和特性
- 多源证书收集:支持从TCP连接、HTTPS端点、本地PEM文件、Kubernetes TLS密钥和Kubeconfig文件中提取证书信息
- 丰富的指标输出:提供证书过期时间、生效时间、OCSP响应状态、TLS版本等关键指标
- 灵活的标签体系:指标包含序列号、颁发者CN、通用名称、DNS名称等证书字段标签
- Prometheus集成:原生支持Prometheus抓取,可直接集成到监控系统中
- 多探针支持:提供TCP、HTTPS、文件、Kubernetes和Kubeconfig五种探针类型
使用场景和适用范围
- SSL/TLS证书过期监控与告警
- 证书链完整性验证
- Kubernetes集群内证书状态监控
- 多环境证书统一管理
- 安全合规审计与证书生命周期管理
部署和使用方法
Docker镜像获取与运行
拉取镜像
bashdocker pull ribbybibby/ssl-exporter
基本运行
bashdocker run -p 9219:9219 ribbybibby/ssl-exporter:latest <flags>
访问http://localhost:9219/probe?target=example.com:443可获取example.com的证书指标,ssl_probe_success指标指示探针是否成功。
命令行参数
usage: ssl_exporter [<flags>] Flags: -h, --help 显示上下文相关帮助(也可尝试 --help-long 和 --help-man) --web.listen-address=":9219" Web界面和遥测的监听地址 --web.metrics-path="/metrics" 暴露指标的路径 --web.probe-path="/probe" 暴露探针端点的路径 --config.file="" SSL exporter配置文件路径 --log.level="info" 日志级别,仅记录指定级别及以上的日志,有效值:[debug, info, warn, error, fatal] --log.format="logger:stderr" 设置日志目标和格式,例如:"logger:syslog?appname=bob&local=7" 或 "logger:stdout?json=true" --version 显示应用版本
指标说明
| 指标名称 | 含义 | 标签 | 支持探针 |
|---|---|---|---|
| ssl_cert_not_after | 对等证书过期时间(Unix时间戳) | serial_no, issuer_cn, cn, dnsnames, ips, emails, ou | tcp, https |
| ssl_cert_not_before | 对等证书生效时间(Unix时间戳) | serial_no, issuer_cn, cn, dnsnames, ips, emails, ou | tcp, https |
| ssl_file_cert_not_after | 文件探针发现的证书过期时间(Unix时间戳) | file, serial_no, issuer_cn, cn, dnsnames, ips, emails, ou | file |
| ssl_file_cert_not_before | 文件探针发现的证书生效时间(Unix时间戳) | file, serial_no, issuer_cn, cn, dnsnames, ips, emails, ou | file |
| ssl_kubernetes_cert_not_after | Kubernetes探针发现的证书过期时间(Unix时间戳) | namespace, secret, key, serial_no, issuer_cn, cn, dnsnames, ips, emails, ou | kubernetes |
| ssl_kubernetes_cert_not_before | Kubernetes探针发现的证书生效时间(Unix时间戳) | namespace, secret, key, serial_no, issuer_cn, cn, dnsnames, ips, emails, ou | kubernetes |
| ssl_kubeconfig_cert_not_after | Kubeconfig探针发现的证书过期时间(Unix时间戳) | kubeconfig, name, type, serial_no, issuer_cn, cn, dnsnames, ips, emails, ou | kubeconfig |
| ssl_kubeconfig_cert_not_before | Kubeconfig探针发现的证书生效时间(Unix时间戳) | kubeconfig, name, type, serial_no, issuer_cn, cn, dnsnames, ips, emails, ou | kubeconfig |
| ssl_ocsp_response_next_update | OCSP响应中的nextUpdate值(Unix时间戳) | tcp, https | |
| ssl_ocsp_response_produced_at | OCSP响应中的producedAt值(Unix时间戳) | tcp, https | |
| ssl_ocsp_response_revoked_at | OCSP响应中的revocationTime值(Unix时间戳) | tcp, https | |
| ssl_ocsp_response_status | OCSP响应状态(0=良好,1=已吊销,2=未知) | tcp, https | |
| ssl_ocsp_response_stapled | 连接状态是否包含 stapled OCSP响应(布尔值) | tcp, https | |
| ssl_ocsp_response_this_update | OCSP响应中的thisUpdate值(Unix时间戳) | tcp, https | |
| ssl_probe_success | 探针是否成功(布尔值) | all | |
| ssl_prober | 用于连接目标的探针类型(布尔值) | prober | all |
| ssl_tls_version_info | 使用的TLS版本(恒为1) | version | tcp, https |
| ssl_verified_cert_not_after | 验证链中证书的过期时间(Unix时间戳) | chain_no, serial_no, issuer_cn, cn, dnsnames, ips, emails, ou | tcp, https |
| ssl_verified_cert_not_before | 验证链中证书的生效时间(Unix时间戳) | chain_no, serial_no, issuer_cn, cn, dnsnames, ips, emails, ou | tcp, https |
配置说明
TCP探针配置
通过Prometheus的relabel配置实现目标发现和监控:
yamlscrape_configs: - job_name: "ssl" metrics_path: /probe static_configs: - targets: - example.com:443 - prometheus.io:443 relabel_configs: - source_labels: [__address__] target_label: __param_target - source_labels: [__param_target] target_label: instance - target_label: __address__ replacement: 127.0.0.1:9219 # SSL exporter地址
HTTPS探针配置
若需使用HTTP代理,可通过module参数指定HTTPS探针:
yamlscrape_configs: - job_name: "ssl" metrics_path: /probe params: module: ["https"] # 指定使用HTTPS探针 static_configs: - targets: - example.com:443 - prometheus.io:443 relabel_configs: - source_labels: [__address__] target_label: __param_target - source_labels: [__param_target] target_label: instance - target_label: __address__ replacement: 127.0.0.1:9219
HTTPS探针支持通过环境变量(HTTP_PROXY、HTTPS_PROXY、ALL_PROXY)或模块配置中的proxy_url选项设置代理。
文件探针配置
用于监控本地PEM文件中的证书,支持通配符匹配:
bash# 单个文件 curl "localhost:9219/probe?module=file&target=/etc/ssl/cert.pem" # 通配符匹配多个文件 curl "localhost:9219/probe?module=file&target=/etc/ssl/**/*.pem"
在Kubernetes中作为DaemonSet运行以监控节点证书:
yamlscrape_configs: - job_name: "ssl-kubernetes-file" metrics_path: /probe params: module: ["file"] target: ["/etc/kubernetes/**/*.crt"] kubernetes_sd_configs: - role: node relabel_configs: - source_labels: [__address__] regex: ^(.*):(.*)$ target_label: __address__ replacement: ${1}:9219
Kubernetes探针配置
用于监控Kubernetes中kubernetes.io/tls类型的密钥:
bash# 监控指定命名空间下的密钥 curl "localhost:9219/probe?module=kubernetes&target=kube-system/secret-name" # 通配符匹配 curl "localhost:9219/probe?module=kubernetes&target=kube-system/*" # 匹配kube-system命名空间下所有密钥 curl "localhost:9219/probe?module=kubernetes&target=*/*" # 匹配所有命名空间下所有密钥
凭据获取顺序:
- 模块配置中的
kubeconfig路径 $KUBECONFIG环境变量- 默认配置文件(
$HOME/.kube/config) - 集群内环境(当在Pod中运行时)
Kubeconfig探针配置
用于监控kubeconfig文件中的证书:
bashcurl "localhost:9219/probe?module=kubeconfig&target=/etc/kubernetes/admin.conf"
在Kubernetes中监控节点kubeconfig:
yamlscrape_configs: - job_name: "ssl-kubernetes-kubeconfig" metrics_path: /probe params: module: ["kubeconfig"] target: ["/etc/kubernetes/admin.conf"] kubernetes_sd_configs: - role: node relabel_configs: - source_labels: [__address__] regex: ^(.*):(.*)$ target_label: __address__ replacement: ${1}:9219
配置文件
通过--config.file参数指定配置文件,支持模块级别的详细配置,格式为YAML:
yamlmodules: [<module>]
模块配置结构
yaml# 探针类型(https, tcp, file, kubernetes, kubeconfig) prober: <prober_string> # 探针超时时间 [ timeout: <duration> ] # TLS配置 [ tls_config: <tls_config> ] # 特定探针配置 [ https: <https_probe> ] [ tcp: <tcp_probe> ] [ kubernetes: <kubernetes_probe> ]
TLS配置
yaml# 禁用目标证书验证 [ insecure_skip_verify: <boolean> | default = false ] # 目标CA证书文件 [ ca_file: <filename> ] # 客户端证书文件 [ cert_file: <filename> ] # 客户端密钥文件 [ key_file: <filename> ] # 用于验证目标的主机名 [ server_name: <string> ]
HTTPS探针配置
yaml# 用于连接目标的HTTP代理服务器 [ proxy_url: <string> ]
TCP探针配置
yaml# 对支持的协议(smtp, ftp, imap)在启动TLS前使用STARTTLS命令 [ starttls: <string> ]
Kubernetes探针配置
yaml# 用于配置探针的kubeconfig文件路径 [ kubeconfig: <string> ]
示例查询
7天内过期的证书
promqlssl_cert_not_after - time() < 86400 * 7
即将过期的通配符证书
promqlssl_cert_not_after{cn=~"\*.*"} - time() < 86400 * 7
验证链中7天内过期且最后过期的证书
promqlssl_verified_cert_not_after{chain_no="0"} - time() < 86400 * 7
服务器提供的证书数量
promqlcount(ssl_cert_not_after) by (instance)
失败的探针
promqlssl_probe_success == 0
对等证书与验证链证书的区别
- 对等证书(Peer Certificates):仅包含目标显式提供的证书
- 验证链证书(Verified Chain Certificates):包含客户端构建的完整信任链,可能包括客户端本地的根证书
chain_no标签按过期时间倒序编号,chain_no="0"表示过期时间最晚的信任链。监控证书过期时,建议使用ssl_verified_cert_not_after{chain_no="0"},因为它反映了客户端实际使用的信任链。
注意:此查询仅反映exporter与目标之间的信任链,实际客户端可能因根证书不同而具有不同的验证链。
Grafana仪表盘
可在此处获取跟踪证书过期日期和目标连接错误的简单仪表盘。
bitnami/redis-exporter
Bitnami Secure Images(VMware Tanzu)
Bitnami安全镜像,集成redis-exporter工具,用于安全导出Redis监控指标。
16 次收藏1亿+ 次下载
11 天前更新
bitnami/jmx-exporter
Bitnami Secure Images(VMware Tanzu)
Bitnami提供的安全镜像,用于运行jmx-exporter以导出JMX指标,适用于Java应用监控场景。
8 次收藏1000万+ 次下载
27 天前更新
bitnami/node-exporter
Bitnami Secure Images(VMware Tanzu)
Bitnami安全版node-exporter镜像,用于节点监控,收集主机系统及硬件指标。
25 次收藏5000万+ 次下载
6 个月前更新
bitnami/nginx-exporter
Bitnami Secure Images(VMware Tanzu)
Bitnami安全镜像,用于NGINX Prometheus Exporter,支持通过Prometheus监控NGINX或NGINX Plus,提供安全加固、最小化攻击面、FIPS配置及持续更新等企业级特性。
5 次收藏1000万+ 次下载
11 天前更新
bitnami/mongodb-exporter
Bitnami Secure Images(VMware Tanzu)
Bitnami mongodb-exporter安全镜像,用于导出MongoDB监控指标,提供安全可靠的指标采集与导出功能。
14 次收藏5000万+ 次下载
17 天前更新
bitnami/nats-exporter
Bitnami Secure Images(VMware Tanzu)
Bitnami安全镜像,用于NATS指标的Prometheus导出器,提供安全优化的容器化部署方案,支持非root运行及FIPS配置,适用于开发和生产环境的监控需求。
3 次收藏500万+ 次下载
7 个月前更新
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
Docker 配置
登录仓库拉取
通过 Docker 登录认证访问私有仓库
专属域名拉取
无需登录使用专属域名
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
Harbor 镜像源配置
Harbor Proxy Repository 对接专属域名
Portainer 镜像源配置
Portainer Registries 加速拉取
Nexus 镜像源配置
Nexus3 Docker Proxy 内网缓存
系统配置
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
使用与功能问题
错误码与失败问题
docker pull 提示 manifest unknown 怎么办?
manifest unknown
docker pull 提示 no matching manifest 怎么办?
no matching manifest(架构)
镜像已拉取完成,却提示 invalid tar header 或 failed to register layer 怎么办?
invalid tar header(解压)
Docker pull 时 HTTPS / TLS 证书验证失败怎么办?
TLS 证书失败
Docker pull 时 DNS 解析超时或连不上仓库怎么办?
DNS 超时
Docker 拉取出现 410 Gone 怎么办?
410 Gone 排查
出现 402 或「流量用尽」提示怎么办?
402 与流量用尽
Docker 拉取提示 UNAUTHORIZED(401)怎么办?
401 认证失败
遇到 429 Too Many Requests(请求太频繁)怎么办?
429 限流
docker login 提示 Cannot autolaunch D-Bus,还算登录成功吗?
D-Bus 凭证提示
为什么会出现「单层超过 20GB」或 413,无法加速拉取?
413 与超大单层
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"