概要
SSL テストを使用すると、SSL/TLS 証明書の有効性と有効期限をプロアクティブに監視して、主要なサービスとユーザー間の安全な接続を確保できます。証明書の有効期限が近づいているか、侵害された場合、Datadog は失敗の詳細を含むアラートを送信し、問題の根本原因をすばやく特定、修正できるようにします。
SSL テストは、ネットワークの外部または内部からのテストの実行の好みに応じて、管理ロケーションとプライベートロケーションの両方から実行することができます。SSL テストは、スケジュール、オンデマンド、または CI/CD パイプライン内で直接実行することができます。
コンフィギュレーション
SSL テストの作成を選択した後、テストのリクエストを定義します。
リクエストを定義する
テストを実行する Host と Port を指定します。デフォルトの SSL ポートは 443 です。
Advanced Options (オプション) をテストに追加します。
- Accept self-signed certificates: 自己署名証明書に関連するサーバーエラーをバイパスします。
- Fail on revoked certificate in stapled OCSP: 証明書が OCSP ステープリングによって取り消されたとラベル付けされた場合、テストに失敗します。
- Timeout: テストがタイムアウトするまでの時間を秒単位で指定します。
- Server Name: TLS ハンドシェイクを開始するサーバーを指定し、サーバーが同じ IP アドレスと TCP ポート番号上の複数の可能な証明書のうちの 1 つを提示することを可能にします。デフォルトでは、このパラメータは Host の値で埋められています。
- Client certificate: クライアント証明書 (
.crt) と PEM 形式の関連する秘密キー (.key) をアップロードして、mTLS を介して認証します。
openssl ライブラリを使用して、証明書を変換することができます。例えば、PKCS12 形式の証明書を PEM 形式の秘密キーや証明書に変換することができます。
openssl pkcs12 -in <CERT>.p12 -out <CERT_KEY>.key -nodes -nocerts
openssl pkcs12 -in <CERT>.p12 -out <CERT>.cert -nokeys
SSL テストに名前を付けます。
SSL テストに env タグとその他のタグを追加します。次に、これらのタグを使用して、Synthetic Monitoring & Continuous Testing ページで Synthetic テストをフィルタリングできます。
Test URL をクリックして、リクエストのコンフィギュレーションをテストします。画面の右側に応答プレビューが表示されます。
アサーションを定義する
アサーションは、期待されるテスト結果が何であるかを定義します。Test URL をクリックした後、証明書の有効性、有効期限データ、TLS バージョン、response time の基本的なアサーションが、取得された応答に基づいて追加されます。テストで監視するには、少なくとも 1 つのアサーションを定義する必要があります。
| タイプ | 演算子 | 値の型 |
|---|
| 証明書 | expires in more than、expires in less than | 整数 (日数) |
| プロパティ | contains、does not contain、is、is not、
matches、does not match | 文字列
正規表現 |
| response time | is less than | 整数 (ms) |
| TLS 最大バージョン | is less than、is less than or equal、is、is more than、is more than or equal | Decimal |
| TLS 最小バージョン | is more than、is more than or equal | Decimal |
New Assertion をクリックするか、応答プレビューを直接クリックすることで、API テストごとに最大 20 個のアサーションを作成できます。
アサーションで OR ロジックを実行するには、matches regex あるいは does not match regex コンパレータを使用して、(0|100) のように同じアサーションタイプに対して複数の期待値を設定した正規表現を定義します。プロパティアサーションの値が 0 あるいは 100 の場合、テストは成功です。
テストがレスポンス本文にアサーションを含まない場合、本文のペイロードはドロップし、Synthetics Worker で設定されたタイムアウト制限内でリクエストに関連するレスポンスタイムを返します。
テストがレスポンス本文に対するアサーションを含み、タイムアウトの制限に達した場合、Assertions on the body/response cannot be run beyond this limit というエラーが表示されます。
ロケーションを選択する
SSL テストを実行するロケーションを選択します。SSL テストは、ネットワークの外部または内部のどちらから証明書を監視するかの好みによって、管理ロケーションとプライベートロケーションの両方から実行できます。
Datadog’s out-of-the-box managed locations allow you to test public-facing websites and endpoints from regions where your customers are located.
| Americas | APAC | EMEA |
|---|
| Canada Central (AWS) | Hong Kong (AWS) | Cape Town (AWS) |
| Northern California (AWS) | Mumbai (AWS) | Frankfurt (AWS) |
| Northern Virginia (AWS) | Seoul (AWS) | Ireland (AWS) |
| Ohio (AWS) | Singapore (AWS) | London (AWS) |
| Oregon (AWS) | Sydney (AWS) | Paris (AWS) |
| São Paulo (AWS) | Tokyo (AWS) | Stockholm (AWS) |
| Virginia (Azure) | Osaka (AWS) | Milan (AWS) |
| Jakarta (AWS) | Bahrain (AWS) |
The Datadog for Government site (US1-FED) uses the following managed location:
テストの頻度を指定する
SSL テストは次の頻度で実行できます。
- On a schedule: SSL/TLS 証明書が常に有効であり、主要なサービスのユーザーへの安全な接続が確保されるようにします。Datadog で SSL テストを実行する頻度を選択します。
- Within your CI/CD pipelines。
- On-demand: チームにとって最も意味のあるときにいつでもテストを実行します。
Define alert conditions
Set alert conditions to determine the circumstances under which you want a test to fail and trigger an alert.
Alerting rule
When you set the alert conditions to: An alert is triggered if any assertion fails for X minutes from any n of N locations, an alert is triggered only if these two conditions are true:
- At least one location was in failure (at least one assertion failed) during the last X minutes;
- At one moment during the last X minutes, at least n locations were in failure.
Fast retry
Your test can trigger retries X times after Y ms in case of a failed test result. Customize the retry interval to suit your alerting sensibility.
Location uptime is computed on a per-evaluation basis (whether the last test result before evaluation was up or down). The total uptime is computed based on the configured alert conditions. Notifications sent are based on the total uptime.
A notification is sent by your test based on the alerting conditions previously defined. Use this section to define how and what to message your team.
Similar to how you configure monitors, select users and/or services that should receive notifications either by adding an @notification to the message or by searching for team members and connected integrations with the dropdown menu.
Enter the notification message for your test. This field allows standard Markdown formatting and supports the following conditional variables:
| Conditional Variable | Description |
|---|
| {{ #is_alert }} | Show when the test alerts. |
| {{ ^is_alert }} | Show unless the test alerts. |
| {{ #is_recovery }} | Show when the test recovers from alert. |
| {{ ^is_recovery }} | Show unless the test recovers from alert. |
| {{ #is_renotify }} | Show when the monitor renotifies. |
| {{ ^is_renotify }} | Show unless the monitor renotifies. |
| {{ #is_priority }} | Show when the monitor matches priority (P1 to P5). |
| {{ ^is_priority }} | Show unless the monitor matches priority (P1 to P5). |
Specify how often you want your test to re-send the notification message in case of test failure. To prevent renotification on failing tests, leave the option as Never renotify if the monitor has not been resolved.
Click Create to save your test configuration and monitor.
For more information, see Using Synthetic Test Monitors.
Variables
Create local variables
To create a local variable, click Create a Local Variable. You can select one of the following available builtins to add to your variable string:
- {{ numeric(n) }}
- Generates a numeric string with
n digits. - {{ alphabetic(n) }}
- Generates an alphabetic string with
n letters. - {{ alphanumeric(n) }}
- Generates an alphanumeric string with
n characters. - {{ date(n unit, format) }}
- Generates a date in one of Datadog’s accepted formats with a value corresponding to the UTC date the test is initiated at + or -
n units. - {{ timestamp(n, unit) }}
- Generates a timestamp in one of Datadog’s accepted units with a value corresponding to the UTC timestamp the test is initiated at +/-
n units. - {{ uuid }}
- Generates a version 4 universally unique identifier (UUID).
- {{ public-id }}
- Injects the Public ID of your test.
- {{ result-id }}
- Injects the Result ID of your test run.
To obfuscate local variable values in test results, select Hide and obfuscate variable value. Once you have defined the variable string, click Add Variable.
変数を使用する
SSL テストの URL、高度なオプション、アサーションで、Settings ページで定義されたグローバル変数を使用することができます。
変数のリストを表示するには、目的のフィールドに {{ と入力します。
テストの失敗
テストが 1 つ以上のアサーションを満たさない場合、またはリクエストが時期尚早に失敗した場合、テストは FAILED と見なされます。場合によっては、エンドポイントに対してアサーションをテストすることなくテストが実際に失敗することがあります。
これらの理由には以下が含まれます。
CONNRESET- 接続がリモートサーバーによって突然閉じられました。Web サーバーにエラーが発生した、応答中にシステムが停止した、Web サーバーへの接続が失われた、などの原因が考えられます。
DNS- テスト URL に対応する DNS エントリが見つかりませんでした。テスト URL の構成の誤りまたは DNS エントリの構成の誤りの原因が考えられます。
INVALID_REQUEST- テストのコンフィギュレーションが無効です (URL に入力ミスがあるなど)。
SSL- SSL 接続を実行できませんでした。詳細については、個別のエラーページを参照してください。
TIMEOUT- リクエストを一定時間内に完了できなかったことを示します。
TIMEOUT には 2 種類あります。TIMEOUT: The request couldn't be completed in a reasonable time. は、リクエストの持続時間がテスト定義のタイムアウト (デフォルトは 60 秒に設定されています) に当たったことを示します。
各リクエストについて、ネットワークウォーターフォールに表示されるのは、リクエストの完了したステージのみです。例えば、Total response time だけが表示されている場合、DNS の解決中にタイムアウトが発生したことになります。TIMEOUT: Overall test execution couldn't be completed in a reasonable time. は、テスト時間 (リクエスト+アサーション) が最大時間 (60.5s) に達したことを示しています。
権限
デフォルトでは、Datadog 管理者および Datadog 標準ロールを持つユーザーのみが、Synthetic SSL テストを作成、編集、削除できます。Synthetic SSL テストの作成、編集、削除アクセスを取得するには、ユーザーをこれら 2 つのデフォルトのロールのいずれかにアップグレードします。
カスタムロール機能を使用している場合は、synthetics_read および synthetics_write 権限を含むカスタムロールにユーザーを追加します。
アクセス制限
アカウントにカスタムロールを使用しているお客様は、アクセス制限が利用可能です。
組織内の役割に基づいて、SSL テストへのアクセスを制限することができます。SSL テストを作成する際に、(ユーザーのほかに) どのロールがテストの読み取りと書き込みを行えるかを選択します。
その他の参考資料
