證書過時?私鑰泄露？原來，企業證書管理不當竟有這麼多安全風險！

前段時間，Let's Encrypt吊銷300多萬張證書的事件一經曝出，再次給HTTPS部署安全敲響警鐘……

做爲網絡世界的ID，SSL證書保障着互聯網安全中最基礎的一環，經過HTTPS加密和SSL認證機制提供數據傳輸加密、數據完整性保護、服務器身份認證三大功能。

然而，當網站部署SSL證書並升級成HTTPS後，是否就作到真正安全了？

證書過時?私鑰泄露？管理繁瑣？趕忙來看看，在平常的企業證書管理中，您有沒有遇到如下這些困惑呢？

一、因爲證書失效過時沒有及時更新致使的停機、網站業務意外中斷；

二、證書管理繁瑣，場景複雜，效率低下且成本較高；（如：證書申請、續簽、更新的繁瑣流程）

三、大型網站的企業運維人員不知道他們擁有多少證書和密鑰；

四、擔憂沒法在整個生命週期的各個階段都確保密鑰的安全；

五、沒法保護密鑰和證書的安全性會使網站信任大打折扣（CA 廠商確認企業密鑰泄露，有權吊銷企業證書）

圖：因證書管理不當形成的諸多安全風險

證書和密鑰管理是現代企業面臨的最大難題之一，因證書管理不當帶來的安全風險形成業務中斷、資金流失、品牌損害，沒法知足相關法律法規要求，企業經營者還將面臨更爲嚴峻的合規挑戰。

證書管理的行業趨勢

2019年，美國 NIST NCCoE 聯合上下游安全廠商發佈了《NIST網絡安全實踐指南SP 1800-16，TLS服務器證書管理》行業標準草案，NIST NCCoE 認識到保護組織客戶端和服務器之間的Web事務和其餘通訊相當重要，該實踐指南旨在指導企業更好地管理TLS服務器證書。將來，企業證書管理將朝着四個方向同時前進。

① 安全性：私鑰和證書的安全存儲；

② 可見性：全部私鑰和證書及相關活動的審計；

③ 有效性：避免意外失效或中斷；

④ 一站式：證書全生命週期管理服務；

有沒有一款證書管理工具可以同時知足安全性、可見性、有效性、一站式這四項要求呢？

證書智能管理軟件（CertManager）實現證書自動申請、部署、檢測、發現、監控、管理、告警、更新和證書品牌切換於一體的證書全生命週期智能管理系統，知足安全合規要求。

證書管理最佳實踐：CertManager

CertManager給予業務以更堅實的保障，提升效率下降管理成本，規避人爲失誤致使的生產事故，知足各行業用戶的需求。

■ 證書一鍵申請，極速簽發，自動部署。

■ 掃描企業「雜亂無章」的證書，監控證書並生成詳細的報告。

■ 集中化管理證書，下降因證書到期等異常狀況帶來的安全風險，當發現加密機制薄弱，受損或易受***時，能夠快速遷移到新證書和密鑰。

■ 硬件設備內建立 CSR(私鑰) 完成證書申請，密鑰不出設備。

■ 協助創建全站 HTTPS，實現 HTTPS 加速。

在NIST NCCoE制定的TLS服務器證書管理最佳實踐的草案中，CertManager 證書管理解決方案符合全部的實踐條款。（見下圖）

CertManager的功能亮點

CertManager經過企業信息預審覈機制以及突出的部署環境適配能力，助力企業服務快速上線，下降人工成本，規避人爲失誤致使的生產事故。

✔ 證書自動簽發：

企業信息預審機制，實現證書自動簽發、快速獲取；

✔ 證書部署：

統一管理網關設備、雲服務、 WEB SERVERS 的證書部署和更新，並提供 OPENAPI 與運維繫統對接；

✔ 證書檢測：

CAA 統計報告、DN/SAN 合規報告、弱密鑰統計；

✔ 私鑰保護：

白盒算法加固、keyless、安全網關、短證書四種方式可選，保護私鑰的安全性；

✔ 監控告警：

持續監控證書狀態，告警異常狀況；

✔ 品牌切換：

當 CA信任受損，可快速切換證書品牌；

✔ 用戶管理：

基於角色的訪問控制，管理員、項目管理員、操做員和審計員 ；

✔ 證書發現：

對於企業已經部署的證書，能夠掃描企業網段，並管理髮現的證書；

極速提高效率、下降成本的祕籍

CertManager以快速、可控、可視化、安全的證書閉環管理服務，助力企業用戶安全合規的管理SSL證書和私鑰，可有效規避因證書過時而產生的資金流失、品牌受損等後果，得到更好的使用體驗，它能夠實現：

☞ 業務快速上線：

經過 MPKI 企業信息預審機制，實現 OV/EV 證書的快速申請和更新；

☞ 安全合規：

集中管理生成的私鑰，多種方式保護私鑰安全性；符合國內國際法規：等保2.0 和 GDPR；

☞ 快速可控：

實現證書一鍵申請，自動續期、分級部署同時能夠手動回滾；當 CA 信任受損，快速切換證書品牌; 審計員能夠追蹤全部的操做，保證證書及其相關操做可控；

☞ 安全評級管理+監控告警：

持續的監控證書狀態的功能，精肯定位問題，異常狀況實時告警；

CertManager，這樣一款從證書申請、部署、檢測、告警到更新，提供證書生命週期全部階段的功能服務產品，自動化證書管理助力企業服務穩定運行，減輕IT管理壓力和運維風險，下降人工成本，真正使得證書管理更加安全便捷！