【案例分析】如何實現企業SSL證書有效管理和監控？

2020年3月20日晚間，許多蘋果用戶看到系統不斷地彈窗沒法驗證服務器身份，包括iOS、iPadOS以及 macOS系統所有如此。

在彈窗中蘋果標註不能驗證「appleimap.163.com」的身份，簡單來講就是這個域名的 HTTPS 證書沒法被信任。

至於不能被信任的緣由很是簡單，網易郵箱忘記給服務器更換新證書，致使原證書到期後沒法進行驗證。

運維又成了背鍋俠，緣由很簡單，由於運維人員沒有在用戶以前發現證書過時並及時更換。

值得慶幸的是，該事件在接到用戶反饋以後及時更換了服務器證書，未釀成重大信息安全***事件，如果對網易用戶引發信息泄密事件，運維人員也將淪落「跑路」的下場。

關於數字證書

其實像這類忘記續期和更換數據證書的錯誤，在不少企業裏面都是可能會發生。由於企業內部的應用中，運維面向各式各樣的應用系統，這類證書基本都是2年才更換一次。若是沒有很好的工具進行檢測和通知，則常常被遺忘在運維忙碌的技術支持工做中。

疑惑一：

不少人可能想問，爲啥這類狀況常常會被忘記，爲啥證書有效期不一次性設置100年呢？這樣，應用系統可能都下線了，就再也不須要考慮證書過時的事情了？

事實上，數字證書通常由第三方的法定數據認證中心機構簽發，以數據證書爲核心的加密技術對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證，確保網上傳遞信息的機密性、完整性，從而保障網絡應用的安全性。因此，在保障可用性的前提下，按期的更新保障安全才是解決問題的核心。

據瞭解，基於安全考慮，蘋果Safari從2020年9月1日起就再也不支持有效期超過398天的HTTPS加密證書。

最先提出縮短證書有效期，提升安全性的就是谷歌。因爲市場佔有率很是高，對整個行業有巨大影響，所以遲遲都未推出具體的政策時間，可是有效期限制也是板上釘釘的。

疑惑二：

也有人會表達困惑，既然這樣的場景常常被遺忘，影響又比較大，這類數字證書可能會有哪些類型呢？從運維的角度，應該如何管理好這類證書的事情呢？

關於數字證書，從使用對象的角度分，目前數字證書類型主要包括：我的身份證書、企業或機構身份證書、支付網關證書、服務器證書、安全電子郵件證書、我的代碼簽名證書。

從數據證書的技術角度分，CA證書機構頒發的證書分爲兩類：SSL證書和SET證書，通常SSL證書是服務於銀行對企業或企業對企業的電子商務活動，而SET證書則服務於持卡消費、網上溝通。

基於以上網易郵箱的案例，提到的證書是屬於服務器證書或安全電子郵件證書，也是屬於SSL證書類型。

在企業運維中，更多關注的證書類型，是從應用系統的角度出發，屬於SSL證書類型的服務器證書。

如何對這些SSL服務器證書進行有效的管理和監控呢？如下給你們分享一個小小的工具，便可知足實現SSL證書的管理和有效期監控。

工具支持，有效管理

針對上述談到的SSL服務器證書，從運維角度實現有效管理和監控的工具，主要有如下幾個核心功能：

自動發現服務器證書

基於業務系統和訪問地址，能夠自動獲取該應用服務器正在使用和依賴的SSL服務器證書，並獲取證書的頒發機構、使用者名稱及有效期信息等，以下：

告警設置

針對已添加業務系統證書列表，基於證書有效期的管理，設置告警策略，如在過時前30天，發送通知管理員。

證書報表

基於證書頒發機構，按期更新和統計證書的信息和有效期，可以給到管理員每一年提早規劃證書的採購、續期計劃。

基於PaaS技術平臺，快速落地場景工具

固然，SSL證書管理和有效期監控，只是咱們運維工做中一個很小的場景。

是否由於這樣一個不常常被關注的微小場景而引入一個工具會致使成本會高昂呢？

是否從運維的角度，自研這樣一個小的運維工具，技術難度會很大呢？

是否爲了支持各類相似的運維場景，都須要建設一套場景工具，致使工具太多、運維管理困難呢？

針對以上這些問題，給分享一下咱們的作法，也是咱們不少客戶落地的作法，能夠很好的解決上述問題。

經過一套運維PaaS平臺，核心提供運維API Gateway、運維工具流水線、免運維託管環境，讓運維人員可以低門檻入手工具開發，快速響應各種運維場景的工具需求。

API GateWay：

內置各類運維基礎的原子能力，如管控平臺、做業平臺、配置平臺、容器平臺、監控平臺等，也可支持第三方API接入能力。

運維工具流水線：

提供基於VUE和Django的開發框架，運維人員可基於簡單Python腳本語言和API的組裝，快速開發運維場景工具。

運行環境託管：

提供基於Docker容器化的運行環境，支持場景工具的一鍵部署和運行，減小各種運維工具的運維管理工做。

基於PaaS技術架構搭建一體化、自動化運維平臺，不只可以提供運維工具效率，更能低成本快速響應運維場景建設，讓運維人員再也不成爲「背鍋俠」、「跑路狗」。

做者：李平洋

其餘優質文章

【華潤創業】快消品牌與消費者間的距離，是一支優秀的數字化團隊！

如何基於Artifactory搭建私服？

【Scrum】藉由數個衝刺，實現產品的敏捷開發！

疫情影響下，嘉爲藍鯨如何助力企業IT運維？

Linux | 文件的時間屬性