Automatische Zertifikatserneuerung konfigurieren
IDIAL enthält einen integrierten Scheduler, der das Inventar regelmäßig durchsucht und Zertifikate automatisch erneuert, sobald ihre Restlaufzeit einen konfigurierbaren Schwellenwert unterschreitet. Diese Anleitung beschreibt, wie der Scheduler aktiviert, konfiguriert und überwacht wird.
Der Scheduler ist nach der Installation inaktiv. Er muss explizit über die API aktiviert werden. Die Konfiguration wird persistent gespeichert und überlebt einen Container-Neustart.
Voraussetzungen
- Alle zu verwaltenden Geräte sind im Inventar eingetragen (siehe GDS-Push-Gerät registrieren)
- Jedem Gerät ist ein PKI-Endpunkt zugewiesen (siehe PKI-Endpunkt konfigurieren)
- API-Key liegt vor
Schritt 1 — Aktuellen Scheduler-Status prüfen
Prüfe zunächst den Ist-Zustand des Schedulers:
curl -s \
-H "X-API-Key: <api-key>" \
https://<idial-host>:5000/systeminfo
Die Antwort enthält alle scheduler-relevanten Felder:
{
"software": "IDIAL",
"version": "1.x.x",
"gds_push_scheduler_status": "inactive",
"gds_push_scheduler_active": false,
"gds_push_scheduler_renewal_days": 30,
"gds_push_scheduler_scan_interval_sec": 60,
"monitor_scheduler_status": "inactive",
"monitor_scheduler_active": false,
"monitor_scheduler_scan_interval_sec": 600,
"show_inactive_devices": false
}
| Feld | Beschreibung |
|---|---|
gds_push_scheduler_status | "active" oder "inactive" |
gds_push_scheduler_active | Aktivierungsflag |
gds_push_scheduler_renewal_days | Globaler Erneuerungsschwellenwert in Tagen |
gds_push_scheduler_scan_interval_sec | Prüfintervall in Sekunden |
show_inactive_devices | Ob deaktivierte Geräte bei Scans berücksichtigt werden |
Schritt 2 — Scheduler aktivieren und konfigurieren
Der Scheduler wird über POST /systeminfo konfiguriert. Alle Felder sind optional — es werden nur die gesendeten Felder geändert.
curl -s -X POST \
-H "X-API-Key: <api-key>" \
-H "Content-Type: application/json" \
-d '{
"gds_push_scheduler_active": true,
"gds_push_scheduler_renewal_days": 30,
"gds_push_scheduler_scan_interval_sec": 60
}' \
https://<idial-host>:5000/systeminfo
| Parameter | Typ | Standard | Beschreibung |
|---|---|---|---|
gds_push_scheduler_active | boolean | false | Scheduler ein-/ausschalten |
gds_push_scheduler_renewal_days | integer ≥ 0 | 30 | Zertifikat erneuern, wenn Restlaufzeit ≤ diesem Wert (Tage) |
gds_push_scheduler_scan_interval_sec | integer ≥ 1 | 60 | Wie oft das Inventar geprüft wird (Sekunden) |
show_inactive_devices | boolean | false | Deaktivierte Geräte in den Scan einbeziehen |
Ein renewal_days-Wert von 30 bedeutet: IDIAL erneuert das Zertifikat, wenn weniger als 30 Tage Restlaufzeit verbleiben. Wähle den Wert so, dass genug Puffer für Fehler bleibt — bei wöchentlichen Wartungsfenstern empfehlen sich mindestens 14 Tage.
Änderungen an gds_push_scheduler_renewal_days setzen den internen Deduplizierungszustand zurück. Das bedeutet: Der nächste Scan löst für alle betroffenen Geräte sofort eine Erneuerungsprüfung aus.
Schritt 3 — Gerätespezifischen Erneuerungszeitraum setzen (optional)
Einzelne Geräte können einen abweichenden Erneuerungsschwellenwert erhalten. Dieser übersteuert den globalen renewal_days-Wert des Schedulers.
curl -s -X PATCH \
-H "X-API-Key: <api-key>" \
-H "Content-Type: application/json" \
-d '{
"renewal_days": 60
}' \
https://<idial-host>:5000/gds/inventory/<device-id>
Setze renewal_days auf null, um zum globalen Wert zurückzukehren:
curl -s -X PATCH \
-H "X-API-Key: <api-key>" \
-H "Content-Type: application/json" \
-d '{
"renewal_days": null
}' \
https://<idial-host>:5000/gds/inventory/<device-id>
Schritt 4 — Erneuerungslauf beobachten
Nach der Aktivierung läuft der Scheduler im Hintergrund. Prüfe den Status erneut, um sicherzustellen, dass der Scheduler aktiv ist:
curl -s \
-H "X-API-Key: <api-key>" \
https://<idial-host>:5000/systeminfo
Erwartete Antwort nach erfolgreicher Aktivierung:
{
"gds_push_scheduler_status": "active",
"gds_push_scheduler_active": true,
"gds_push_scheduler_renewal_days": 30,
"gds_push_scheduler_scan_interval_sec": 60
}
Der Scheduler hat keinen eingebauten Retry-Mechanismus. Schlägt eine Erneuerung fehl, wird der Fehler geloggt und der Scheduler fährt mit dem nächsten Gerät fort. Der Erneuerungsversuch wird beim nächsten Scan-Zyklus wiederholt, sofern sich der Zertifikatsstatus nicht verändert hat.
Zusammenfassung
GET /systeminfo → Aktuellen Scheduler-Status prüfen
POST /systeminfo → Scheduler aktivieren/konfigurieren
PATCH /gds/inventory/{id} → Geräte-spezifischen renewal_days setzen
GET /systeminfo → Aktivierung bestätigen
Nächste Schritte
- Zertifikat manuell erneuern — Sofortigen Erneuerungsvorgang anstoßen
- Zertifikats-Monitoring einrichten — Zertifikatsstatus aktiv überwachen
POST /systeminfo— API-Referenz
Fehlerbehebung
| Symptom | Mögliche Ursache | Lösung |
|---|---|---|
gds_push_scheduler_status bleibt "inactive" | gds_push_scheduler_active wurde nicht auf true gesetzt | POST /systeminfo mit "gds_push_scheduler_active": true senden |
| Zertifikate werden nicht erneuert obwohl Schwellenwert unterschritten | Gerät hat keinen zugewiesenen PKI-Endpunkt | PKI-Endpunkt im Inventareintrag prüfen und zuweisen |
| Erneuerung schlägt fehl, nächster Scan wiederholt nicht | Deduplizierungszustand verhindert Neuversuch | renewal_days kurz ändern und zurücksetzen — setzt den Zustand zurück |
| Gerät wird nicht gescannt | show_inactive_devices: false und Gerät inaktiv | Gerät aktivieren oder show_inactive_devices: true setzen |